Vulnerabilità rilevate

I rilevatori di Security Health Analytics e Web Security Scanner generano risultati di vulnerabilità disponibili in Security Command Center. Quando sono abilitati in Security Command Center, i servizi integrati, come VM Manager, generano anche risultati di vulnerabilità.

La tua capacità di visualizzare e modificare i risultati è determinata dai ruoli e dalle autorizzazioni Identity and Access Management (IAM) che ti vengono assegnati. Per ulteriori informazioni sui ruoli IAM in Security Command Center, consulta Controllo dell'accesso.

Rilevatori e conformità

Security Command Center monitora la tua conformità con i rilevatori mappati ai controlli di un'ampia gamma di standard di sicurezza.

Per ogni standard di sicurezza supportato, Security Command Center controlla un sottoinsieme dei controlli. Per i controlli selezionati, Security Command Center mostra quanti sono superati. Per i controlli che non vengono superati, Security Command Center mostra un elenco di risultati che descrivono gli errori di controllo.

Il CIS esamina e certifica i mapping dei rilevatori di Security Command Center a ogni versione supportata del benchmark CIS Google Cloud Foundations. Le mappature di conformità aggiuntive sono incluse solo a scopo di riferimento.

Security Command Center aggiunge periodicamente il supporto per nuove versioni e nuovi standard di benchmark. Le versioni precedenti rimangono supportate, ma alla fine vengono ritirate. Ti consigliamo di utilizzare l'ultimo benchmark o standard supportato disponibile.

Con il servizio di postura di sicurezza, puoi mappare le norme dell'organizzazione e i rilevatori di Security Health Analytics agli standard e ai controlli che si applicano alla tua attività. Dopo aver creato una postura di sicurezza, puoi monitorare eventuali modifiche all'ambiente che potrebbero influire sulla conformità della tua attività.

Per ulteriori informazioni sulla gestione della conformità, vedi Valutare e segnalare la conformità agli standard di sicurezza.

Standard di sicurezza supportati

Google Cloud

Security Command Center mappa i rilevatori per Google Cloud a uno o più dei seguenti standard di conformità:

AWS

Security Command Center mappa i rilevatori per Amazon Web Services (AWS) a uno o più dei seguenti standard di conformità:

Per istruzioni su come visualizzare ed esportare i report di conformità, vedi Valutare e segnalare la conformità agli standard di sicurezza.

Trovare la disattivazione dopo la correzione

Dopo aver risolto una vulnerabilità o un problema di configurazione, il servizio Security Command Center che ha rilevato il problema imposta automaticamente lo stato del problema su INACTIVE la volta successiva che il servizio di rilevamento esegue la scansione per il problema. Il tempo necessario a Security Command Center per impostare un risultato corretto su INACTIVE dipende dalla pianificazione della scansione che rileva il risultato.

I servizi Security Command Center impostano anche lo stato di una vulnerabilità o di un risultato di configurazione errata su INACTIVE quando una scansione rileva che la risorsa interessata dal risultato è stata eliminata.

Per ulteriori informazioni sugli intervalli di scansione, consulta i seguenti argomenti:

Risultati di Security Health Analytics

I rilevatori di Security Health Analytics monitorano un sottoinsieme di risorse di Cloud Asset Inventory (CAI), ricevendo notifiche di modifiche alle risorse e ai criteri Identity and Access Management (IAM). Alcuni rilevatori recuperano i dati chiamando direttamente le API Google Cloud , come indicato nelle tabelle più avanti in questa pagina.

Per ulteriori informazioni su Security Health Analytics, pianificazioni delle scansioni e supporto di Security Health Analytics per i rilevatori di moduli integrati e personalizzati, consulta Panoramica di Security Health Analytics.

Le tabelle seguenti descrivono i rilevatori di Security Health Analytics, gli asset e gli standard di conformità che supportano, le impostazioni che utilizzano per le scansioni e i tipi di risultati che generano. Puoi filtrare i risultati in base a vari attributi nelle seguenti pagine della console Google Cloud :

  • Nei livelli Standard e Premium, la pagina Vulnerabilità.
  • Nel livello Enterprise, la pagina Rischio > Panoramica. Seleziona la visualizzazione Vulnerabilità CVE.

Per istruzioni su come correggere i risultati e proteggere le risorse, vedi Correzione dei risultati di Security Health Analytics.

Risultati delle vulnerabilità delle chiavi API

Il rilevatore API_KEY_SCANNER identifica le vulnerabilità correlate alle chiavi API utilizzate nel deployment cloud.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: API_KEY_APIS_UNRESTRICTED

Descrizione del risultato:Le chiavi API vengono utilizzate in modo troppo ampio. Per risolvere questo problema, limita l'utilizzo della chiave API in modo da consentire solo le API necessarie all'applicazione.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • CIS GCP Foundation 3.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera la proprietà restrictions di tutte le chiavi API in un progetto, controllando se una è impostata su cloudapis.googleapis.com.

  • Scansioni in tempo reale: No

Nome della categoria nell'API: API_KEY_APPS_UNRESTRICTED

Descrizione del risultato:Esistono chiavi API utilizzate senza limitazioni, che consentono l'utilizzo da parte di qualsiasi app non attendibile.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13
  • CIS GCP Foundation 3.0: 1.13

Recupera la proprietà restrictions di tutte le chiavi API in un progetto, verificando se sono impostati browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions o iosKeyRestrictions.

  • Scansioni in tempo reale: No

Nome della categoria nell'API: API_KEY_EXISTS

Descrizione del problema: Un progetto utilizza chiavi API anziché l'autenticazione standard.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • CIS GCP Foundation 3.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera tutte le chiavi API di proprietà di un progetto.

  • Scansioni in tempo reale: No

Nome della categoria nell'API: API_KEY_NOT_ROTATED

Descrizione del problema: La chiave API non è stata ruotata per più di 90 giorni.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • CIS GCP Foundation 3.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

Recupera il timestamp contenuto nella proprietà createTime di tutte le chiavi API, verificando se sono trascorsi 90 giorni.

  • Scansioni in tempo reale: No

Risultati delle vulnerabilità di Cloud Asset Inventory

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di Cloud Asset Inventory e appartengono al tipo CLOUD_ASSET_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: CLOUD_ASSET_API_DISABLED

Descrizione del problema:L'acquisizione di risorse e criteri IAM da parte di Cloud Asset Inventory consente analisi della sicurezza, monitoraggio delle modifiche delle risorse e controlli di conformità. Google Cloud Ti consigliamo di abilitare il servizio Cloud Asset Inventory per tutti i progetti. Questo rilevatore richiede una configurazione aggiuntiva per l'attivazione. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
pubsub.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • CIS GCP Foundation 3.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Controlla se il servizio Cloud Asset Inventory è abilitato.

  • Scansioni in tempo reale: sì

Risultati di vulnerabilità dello spazio di archiviazione

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni dei bucket Cloud Storage e appartengono al tipoSTORAGE_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: BUCKET_CMEK_DISABLED

Descrizione del problema:un bucket non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
storage.googleapis.com/Bucket

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla il campo encryption nei metadati del bucket per il nome della risorsa della tua chiave CMEK.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: BUCKET_POLICY_ONLY_DISABLED

Descrizione del risultato: L'accesso uniforme a livello di bucket, in precedenza chiamato Solo criterio bucket, non è configurato.

Livello di prezzo: Premium

Asset supportati
storage.googleapis.com/Bucket

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • CIS GCP Foundation 3.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica se la proprietà uniformBucketLevelAccess di un bucket è impostata su "enabled":false

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: PUBLIC_BUCKET_ACL

Descrizione del risultato:Un bucket Cloud Storage è accessibile pubblicamente.

Livello di prezzo:Premium o Standard

Asset supportati
storage.googleapis.com/Bucket

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • CIS GCP Foundation 3.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla la policy di autorizzazione IAM di un bucket per ruoli pubblici, allUsers o allAuthenticatedUsers.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: PUBLIC_LOG_BUCKET

Descrizione del risultato:Un bucket di archiviazione utilizzato come sink di log è accessibile pubblicamente.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Livello di prezzo:Premium o Standard

Asset supportati
storage.googleapis.com/Bucket

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

Controlla la policy IAM allow di un bucket per le entità allUsers o allAuthenticatedUsers, che concedono l'accesso pubblico.

  • Input aggiuntivi: legge il sink di log (il filtro dei log e la destinazione dei log) per un bucket per determinare se si tratta di un bucket dei log
  • Scansioni in tempo reale: sì, ma solo se le norme IAM sul bucket cambiano, non se viene modificato il sink di log

Risultati delle vulnerabilità delle immagini di Compute

Il rilevatore COMPUTE_IMAGE_SCANNER identifica le vulnerabilità relative alle configurazioni delle immaginiGoogle Cloud .

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: PUBLIC_COMPUTE_IMAGE

Descrizione del risultato:Un'immagine Compute Engine è accessibile pubblicamente.

Livello di prezzo:Premium o Standard

Asset supportati
compute.googleapis.com/Image

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla la policy di autorizzazione IAM nei metadati della risorsa per le entità allUsers o allAuthenticatedUsers, che concedono l'accesso pubblico.

  • Scansioni in tempo reale: sì

Risultati delle vulnerabilità delle istanze di calcolo

Il rilevatore COMPUTE_INSTANCE_SCANNER identifica le vulnerabilità correlate alle configurazioni delle istanze di Compute Engine.

I rilevatori COMPUTE_INSTANCE_SCANNER non segnalano risultati sulle istanze Compute Engine create da GKE. Queste istanze hanno nomi che iniziano con "gke-", che gli utenti non possono modificare. Per proteggere queste istanze, consulta la sezione Risultati delle vulnerabilità dei container.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: CONFIDENTIAL_COMPUTING_DISABLED

Descrizione del risultato:Confidential Computing è disabilitato su un'istanza Compute Engine.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • CIS GCP Foundation 3.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Controlla la proprietà confidentialInstanceConfig dei metadati dell'istanza per la coppia chiave/valore "enableConfidentialCompute":true.

  • Asset esclusi dalle scansioni:
    • Istanze GKE
    • Accesso VPC serverless
    • Istanze correlate ai job Dataflow
    • Istanze Compute Engine che non sono di tipo N2D
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

Descrizione del problema: Vengono utilizzate chiavi SSH a livello di progetto, consentendo l'accesso a tutte le istanze del progetto.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • CIS GCP Foundation 3.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

Controlla l'oggetto metadata.items[] nei metadati dell'istanza per la coppia chiave/valore "key": "block-project-ssh-keys", "value": TRUE.

  • Asset esclusi dalle scansioni: istanze GKE, job Dataflow, istanza Windows
  • Autorizzazioni IAM aggiuntive: roles/compute.Viewer
  • Input aggiuntivi: legge i metadati da Compute Engine
  • Scansioni in tempo reale: No

Nome della categoria nell'API: COMPUTE_SECURE_BOOT_DISABLED

Descrizione del risultato:L'avvio protetto non è abilitato per questa Shielded VM. L'utilizzo dell'avvio protetto consente di proteggere le istanze di macchine virtuali da minacce avanzate come rootkit e bootkit.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla la proprietà shieldedInstanceConfig sulle istanze Compute Engine per determinare se enableSecureBoot è impostato su true. Questo rilevatore controlla se i dischi collegati sono compatibili con Avvio protetto e se Avvio protetto è abilitato.

  • Asset esclusi dalle scansioni: istanze GKE, dischi Compute Engine con acceleratori GPU che non utilizzano Container-Optimized OS, accesso VPC serverless
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: COMPUTE_SERIAL_PORTS_ENABLED

Descrizione del risultato:Le porte seriali sono abilitate per un'istanza, consentendo le connessioni alla console seriale dell'istanza.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • CIS GCP Foundation 3.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Controlla l'oggetto metadata.items[] nei metadati dell'istanza per la coppia chiave/valore "key": "serial-port-enable", "value": TRUE.

  • Asset esclusi dalle scansioni: istanze GKE
  • Autorizzazioni IAM aggiuntive: roles/compute.Viewer
  • Input aggiuntivi: legge i metadati da Compute Engine
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: DEFAULT_SERVICE_ACCOUNT_USED

Descrizione del problema:Un'istanza è configurata per utilizzare l'account di servizio predefinito.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • CIS GCP Foundation 3.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Controlla la proprietà serviceAccounts nei metadati dell'istanza per eventuali indirizzi email di account di servizio con il prefisso PROJECT_NUMBER-compute@developer.gserviceaccount.com, che indica il account di servizio predefinito creato da Google.

  • Asset esclusi dalle scansioni: istanze GKE, job Dataflow
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: DISK_CMEK_DISABLED

Descrizione del risultato:i dischi di questa VM non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per l'attivazione. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Disk

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla il campo kmsKeyName nell'oggetto diskEncryptionKey, nei metadati del disco, per il nome della risorsa della tua CMEK.

  • Asset esclusi dalle scansioni: dischi correlati a ambienti Cloud Composer, job Dataflow e istanze GKE
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: DISK_CSEK_DISABLED

Descrizione del problema: I dischi di questa VM non sono criptati con chiavi di crittografia fornite dal cliente (CSEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per le istruzioni, vedi Rilevatore di casi speciali.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Disk

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • CIS GCP Foundation 3.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Controlla il campo kmsKeyName nell'oggetto diskEncryptionKey per il nome della risorsa della tua chiave CSEK.

  • Asset esclusi dalle scansioni:
    Dischi Compute Engine senza il contrassegno di sicurezza enforce_customer_supplied_disk_encryption_keys impostato su true
  • Autorizzazioni IAM aggiuntive: roles/compute.Viewer
  • Input aggiuntivi: legge i metadati da Compute Engine
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: FULL_API_ACCESS

Descrizione del problema: Un'istanza è configurata per utilizzare il service account predefinito con accesso completo a tutte le API Google Cloud.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • CIS GCP Foundation 3.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

Recupera il campo scopes nella proprietà serviceAccounts per verificare se viene utilizzato un account di servizio predefinito e se gli è stato assegnato l'ambito cloud-platform.

  • Asset esclusi dalle scansioni: istanze GKE, job Dataflow
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: HTTP_LOAD_BALANCER

Descrizione del risultato:Un'istanza utilizza un bilanciatore del carico configurato per utilizzare un proxy HTTP di destinazione anziché un proxy HTTPS di destinazione.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/TargetHttpProxy

Correggi questo risultato

Standard di conformità:

  • PCI-DSS v3.2.1: 2.3

Determina se la proprietà selfLink della risorsa targetHttpProxy corrisponde all'attributo target nella regola di forwarding e se la regola di forwarding contiene un campo loadBalancingScheme impostato su External.

  • Autorizzazioni IAM aggiuntive: roles/compute.Viewer
  • Input aggiuntivi: legge le regole di forwarding per un proxy HTTP di destinazione da Compute Engine, verificando la presenza di regole esterne
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: INSTANCE_OS_LOGIN_DISABLED

Descrizione del problema: OS Login è disabilitato su questa istanza.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Verifica se la proprietà enable-oslogin di Custom metadata dell'istanza è impostata su TRUE.

  • Asset esclusi dalle scansioni: istanze GKE, istanze correlate ai job Dataflow, accesso VPC serverless
  • Autorizzazioni IAM aggiuntive: roles/compute.Viewer
  • Input aggiuntivi: legge i metadati da Compute Engine.
  • Scansioni in tempo reale: No

Nome della categoria nell'API: IP_FORWARDING_ENABLED

Descrizione del problema:L'IP forwarding è abilitato sulle istanze.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • CIS GCP Foundation 3.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Verifica se la proprietà canIpForward dell'istanza è impostata su true.

  • Asset esclusi dalle scansioni: istanze GKE, accesso VPC serverless
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OS_LOGIN_DISABLED

Descrizione del problema: OS Login è disattivato in questo progetto.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

Controlla l'oggetto commonInstanceMetadata.items[] nei metadati del progetto per la coppia chiave-valore, "key": "enable-oslogin", "value": TRUE. Il rilevatore controlla anche tutte le istanze in un progetto Compute Engine per determinare se l'OS Login è disabilitato per le singole istanze.

  • Asset esclusi dalle scansioni: istanze GKE, istanze correlate ai job Dataflow
  • Autorizzazioni IAM aggiuntive: roles/compute.Viewer
  • Input aggiuntivi: legge i metadati da Compute Engine. Il rilevatore esamina anche le istanze Compute Engine nel progetto
  • Scansioni in tempo reale: No

Nome della categoria nell'API: PUBLIC_IP_ADDRESS

Descrizione del problema: Un'istanza ha un indirizzo IP pubblico.

Livello di prezzo:Premium o Standard

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • CIS GCP Foundation 3.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla se la proprietà networkInterfaces contiene un campo accessConfigs, che indica che è configurata per utilizzare un indirizzo IP pubblico.

  • Asset esclusi dalle scansioni: istanze GKE, istanze correlate ai job Dataflow
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SHIELDED_VM_DISABLED

Descrizione del risultato:Shielded VM è disabilitata in questa istanza.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8
  • CIS GCP Foundation 3.0: 4.8

Controlla la proprietà shieldedInstanceConfig nelle istanze Compute Engine per determinare se i campi enableIntegrityMonitoring e enableVtpm sono impostati su true. I campi indicano se Shielded VM è attivata.

  • Asset esclusi dalle scansioni: istanze GKE e accesso VPC serverless
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: WEAK_SSL_POLICY

Descrizione del risultato:Un'istanza ha una policy SSL debole.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • CIS GCP Foundation 3.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

Verifica se sslPolicy nei metadati dell'asset è vuoto o utilizza il criterio predefinito Google Cloud e, per la risorsa sslPolicies collegata, se profile è impostato su Restricted o Modern, minTlsVersion è impostato su TLS 1.2 e customFeatures è vuoto o non contiene le seguenti cifrature: TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA.

  • Autorizzazioni IAM aggiuntive: roles/compute.Viewer
  • Input aggiuntivi: legge le policy SSL per l'archiviazione dei proxy di destinazione, verificando la presenza di policy deboli
  • Scansioni in tempo reale: sì, ma solo quando viene aggiornato TargetHttpsProxy di TargetSslProxy, non quando viene aggiornato il criterio SSL

Risultati delle vulnerabilità dei container

Questi tipi di risultati sono tutti correlati alle configurazioni dei container GKE e appartengono al tipo di rilevatore CONTAINER_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: ALPHA_CLUSTER_ENABLED

Descrizione del risultato:Le funzionalità del cluster alpha sono abilitate per un cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.10.2

Controlla se la proprietà enableKubernetesAlpha di un cluster è impostata su true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: AUTO_REPAIR_DISABLED

Descrizione del problema: La funzionalità di riparazione automatica di un cluster GKE, che mantiene i nodi in uno stato integro e in esecuzione, è disattivata.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

Controlla la proprietà management di un pool di nodi per la coppia chiave-valore "key": "autoRepair", "value": true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: AUTO_UPGRADE_DISABLED

Descrizione del risultato:La funzionalità di upgrade automatico di un cluster GKE, che mantiene i cluster e i pool di nodi sull'ultima versione stabile di Kubernetes, è disabilitata.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

Controlla la proprietà management di un pool di nodi per la coppia chiave-valore "key": "autoUpgrade", "value": true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: BINARY_AUTHORIZATION_DISABLED

Descrizione del risultato:L'autorizzazione binaria è disattivata nel cluster GKE oppure la policy di autorizzazione binaria è configurata per consentire il deployment di tutte le immagini.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla quanto segue:

  • Controlla se la proprietà binaryAuthorization ha una delle seguenti coppie chiave-valore:
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • Controlla se la proprietà dei criteri defaultAdmissionRule non contiene la coppia chiave-valore evaluationMode: ALWAYS_ALLOW.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: CLUSTER_LOGGING_DISABLED

Descrizione del problema: Il logging non è abilitato per un cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

Controlla se la proprietà loggingService di un cluster contiene la località che Cloud Logging deve utilizzare per scrivere i log.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: CLUSTER_MONITORING_DISABLED

Descrizione del problema: Il monitoraggio è disabilitato sui cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

Controlla se la proprietà monitoringService di un cluster contiene la località che Cloud Monitoring deve utilizzare per scrivere le metriche.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

Descrizione del problema: Gli host del cluster non sono configurati per utilizzare solo indirizzi IP privati e interni per accedere alle API di Google.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

Controlla se la proprietà privateIpGoogleAccess di una subnet è impostata su false.

  • Input aggiuntivi: legge le subnet dal servizio di archiviazione, archiviando i risultati solo per i cluster con subnet
  • Scansioni in tempo reale: sì, ma solo se il cluster viene aggiornato, non per gli aggiornamenti della subnet

Nome della categoria nell'API: CLUSTER_SECRETS_ENCRYPTION_DISABLED

Descrizione del risultato: La crittografia dei secret a livello di applicazione è disabilitata in un cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.3.1

Controlla la proprietà keyName dell'oggetto databaseEncryption per la coppia chiave-valore "state": ENCRYPTED.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: CLUSTER_SHIELDED_NODES_DISABLED

Descrizione del risultato:I nodi Shielded GKE non sono abilitati per un cluster.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.5.5

Controlla la proprietà shieldedNodes per la coppia chiave-valore "enabled": true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: COS_NOT_USED

Descrizione del risultato: Le VM Compute Engine non utilizzano Container-Optimized OS, progettato per eseguire i container Docker in modo sicuro su Google Cloud .

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

Controlla la proprietà config di un pool di nodi per la coppia chiave-valore "imageType": "COS".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: INTEGRITY_MONITORING_DISABLED

Descrizione del risultato: Il monitoraggio dell'integrità è disabilitato per un cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.5.6

Controlla la proprietà shieldedInstanceConfig dell'oggetto nodeConfig per la coppia chiave-valore "enableIntegrityMonitoring": true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: INTRANODE_VISIBILITY_DISABLED

Descrizione del problema:La visibilità tra nodi è disabilitata per un cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.6.1

Controlla la proprietà networkConfig per la coppia chiave-valore "enableIntraNodeVisibility": true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: IP_ALIAS_DISABLED

Descrizione del risultato: È stato creato un cluster GKE con intervalli IP alias disabilitati.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

Verifica se il campo useIPAliases di ipAllocationPolicy in un cluster è impostato su false.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: LEGACY_AUTHORIZATION_ENABLED

Descrizione del problema: L'autorizzazione legacy è abilitata sui cluster GKE.

Livello di prezzo:Premium o Standard

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

Controlla la proprietà legacyAbac di un cluster per la coppia chiave-valore "enabled": true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: LEGACY_METADATA_ENABLED

Descrizione del problema: I metadati legacy sono abilitati sui cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.4.1

Controlla la proprietà config di un pool di nodi per la coppia chiave-valore, "disable-legacy-endpoints": "false".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: MASTER_AUTHORIZED_NETWORKS_DISABLED

Descrizione del risultato: Le reti autorizzate del control plane non sono abilitate sui cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

Controlla la proprietà masterAuthorizedNetworksConfig di un cluster per la coppia chiave-valore "enabled": false.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: NETWORK_POLICY_DISABLED

Descrizione del risultato: Il criterio di rete è disabilitato sui cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

Controlla il campo networkPolicy della proprietà addonsConfig per la coppia chiave-valore "disabled": true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: NODEPOOL_BOOT_CMEK_DISABLED

Descrizione del risultato:i dischi di avvio in questo pool di nodi non sono criptati con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla la proprietà bootDiskKmsKey dei pool di nodi per il nome della risorsa della tua chiave CMEK.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: NODEPOOL_SECURE_BOOT_DISABLED

Descrizione del risultato:L'avvio protetto è disabilitato per un cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.5.7

Controlla la proprietà shieldedInstanceConfig dell'oggetto nodeConfig per la coppia chiave-valore "enableSecureBoot": true.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OVER_PRIVILEGED_ACCOUNT

Descrizione del problema: Un account di servizio dispone di un accesso al progetto eccessivamente ampio in un cluster.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

Valuta la proprietà config di un pool di nodi per verificare se non è specificato alcun service account o se viene utilizzato il account di servizio predefinito.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OVER_PRIVILEGED_SCOPES

Descrizione del problema:Un account di servizio del nodo dispone di ambiti di accesso ampi.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
Verifica se l'ambito di accesso elencato nella proprietà config.oauthScopes di un pool di nodi è un ambito di accesso limitato dell'account di servizio: https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, o https://www.googleapis.com/auth/monitoring.
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: POD_SECURITY_POLICY_DISABLED

Descrizione del problema: PodSecurityPolicy è disattivato su un cluster GKE.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

Controlla la proprietà podSecurityPolicyConfig di un cluster per la coppia chiave-valore, "enabled": false.

  • Autorizzazioni IAM aggiuntive: roles/container.clusterViewer
  • Input aggiuntivi: legge le informazioni sul cluster da GKE, perché i criteri di sicurezza dei pod sono una funzionalità beta. Kubernetes ha ufficialmente deprecato PodSecurityPolicy versione 1.21. La versione 1.25 di PodSecurityPolicy verrà disattivata. Per informazioni sulle alternative, consulta la pagina relativa al ritiro di PodSecurityPolicy.
  • Scansioni in tempo reale: No

Nome della categoria nell'API: PRIVATE_CLUSTER_DISABLED

Descrizione del risultato: Un cluster GKE ha un cluster privato disabilitato.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

Controlla se il campo enablePrivateNodes della proprietà privateClusterConfig è impostato su false.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: RELEASE_CHANNEL_DISABLED

Descrizione del risultato:Un cluster GKE non è iscritto a un canale di rilascio.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.5.4

Controlla la proprietà releaseChannel per la coppia chiave-valore "channel": UNSPECIFIED.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: WEB_UI_ENABLED

Descrizione del problema: La UI web (dashboard) di GKE è abilitata.

Livello di prezzo:Premium o Standard

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

Controlla il campo kubernetesDashboard della proprietà addonsConfig per la coppia chiave-valore "disabled": false.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: WORKLOAD_IDENTITY_DISABLED

Descrizione del risultato: Workload Identity è disabilitato in un cluster GKE.

Livello di prezzo: Premium

Asset supportati
container.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GKE 1.0: 6.2.2

Controlla se la proprietà workloadIdentityConfig di un cluster è impostata. Il rilevatore controlla anche se la proprietà workloadMetadataConfig di un pool di nodi è impostata su GKE_METADATA.

  • Autorizzazioni IAM aggiuntive: roles/container.clusterViewer
  • Scansioni in tempo reale: sì

Risultati di vulnerabilità di Dataproc

Le vulnerabilità di questo tipo di rilevatore riguardano tutte Dataproc e appartengono al tipo di rilevatore DATAPROC_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: DATAPROC_CMEK_DISABLED

Descrizione del risultato:È stato creato un cluster Dataproc senza una configurazione di crittografia CMEK. Con CMEK, le chiavi che crei e gestisci in Cloud Key Management Service criptano le chiavi che Google Cloud utilizza per criptare i tuoi dati, offrendoti un maggiore controllo sull'accesso ai tuoi dati. Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
dataproc.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • CIS GCP Foundation 3.0: 8.1
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Controlla se il campo kmsKeyName nella proprietà encryptionConfiguration è vuoto.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: DATAPROC_IMAGE_OUTDATED

Descrizione del risultato:È stato creato un cluster Dataproc con una versione dell'immagine Dataproc interessata dalle vulnerabilità di sicurezza nell'utilità Apache Log4j 2 (CVE-2021-44228 e CVE-2021-45046).

Livello di prezzo:Premium o Standard

Asset supportati
dataproc.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Verifica se il campo softwareConfig.imageVersion nella proprietà config di un Cluster è precedente alla versione 1.3.95 o se è una versione immagine secondaria precedente alla 1.4.77, 1.5.53 o 2.0.27.

  • Scansioni in tempo reale: sì

Risultati relativi alle vulnerabilità del set di dati

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni del set di dati BigQuery e appartengono al tipo di rilevatore DATASET_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: BIGQUERY_TABLE_CMEK_DISABLED

Descrizione del risultato:Una tabella BigQuery non è configurata per utilizzare una chiave di crittografia gestita dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
bigquery.googleapis.com/Table

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • CIS GCP Foundation 3.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Controlla se il campo kmsKeyName nella proprietà encryptionConfiguration è vuoto.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: DATASET_CMEK_DISABLED

Descrizione del problema:Un set di dati BigQuery non è configurato per utilizzare una CMEK predefinita. Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
bigquery.googleapis.com/Dataset

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • CIS GCP Foundation 3.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Controlla se il campo kmsKeyName nella proprietà defaultEncryptionConfiguration è vuoto.

  • Scansioni in tempo reale: No

Nome della categoria nell'API: PUBLIC_DATASET

Descrizione del risultato:Un set di dati è configurato per essere aperto all'accesso pubblico.

Livello di prezzo:Premium o Standard

Asset supportati
bigquery.googleapis.com/Dataset

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • CIS GCP Foundation 3.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla la policy di autorizzazione IAM nei metadati della risorsa per le entità allUsers o allAuthenticatedUsers, che concedono l'accesso pubblico.

  • Scansioni in tempo reale: sì

Risultati di vulnerabilità DNS

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni Cloud DNS e appartengono al tipo di rilevatore DNS_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: DNSSEC_DISABLED

Descrizione del risultato:DNSSEC è disabilitato per le zone Cloud DNS.

Livello di prezzo: Premium

Asset supportati
dns.googleapis.com/ManagedZone

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • CIS GCP Foundation 3.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Controlla se il campo state della proprietà dnssecConfig è impostato su off.

  • Asset esclusi dalle scansioni: zone Cloud DNS non pubbliche
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: RSASHA1_FOR_SIGNING

Descrizione del problema: RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS.

Livello di prezzo: Premium

Asset supportati
dns.googleapis.com/ManagedZone

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • CIS GCP Foundation 3.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Verifica se l'oggetto defaultKeySpecs.algorithm della proprietà dnssecConfig è impostato su rsasha1.

  • Scansioni in tempo reale: sì

Risultati di vulnerabilità del firewall

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni del firewall e appartengono al tipo di rilevatore FIREWALL_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: EGRESS_DENY_RULE_NOT_SET

Descrizione del problema:Su un firewall non è impostata una regola di negazione in uscita. Le regole di negazione per il traffico in uscita devono essere impostate per bloccare il traffico in uscita indesiderato.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • PCI-DSS v3.2.1: 7.2

Verifica se la proprietà destinationRanges nel firewall è impostata su 0.0.0.0/0 e se la proprietà denied contiene la coppia chiave-valore "IPProtocol": "all".

  • Input aggiuntivi: legge i firewall di uscita per un progetto dallo spazio di archiviazione
  • Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non alle regole firewall

Nome della categoria nell'API: FIREWALL_RULE_LOGGING_DISABLED

Descrizione del problema: Il logging delle regole firewall è disattivato. Il logging delle regole firewall deve essere abilitato per poter eseguire l'audit dell'accesso alla rete.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà logConfig nei metadati del firewall per verificare se è vuota o contiene la coppia chiave-valore "enable": false.

Nome della categoria nell'API: OPEN_CASSANDRA_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta Cassandra aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_CISCOSECURE_WEBSM_PORT

Descrizione del risultato:Un firewall è configurato per avere una porta CISCOSECURE_WEBSM aperta che consente l'accesso generico.

Livello di prezzo:Premium o Standard

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per il seguente protocollo e porta: TCP:9090.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_DIRECTORY_SERVICES_PORT

Descrizione del problema:Un firewall è configurato in modo da avere una porta DIRECTORY_SERVICES aperta che consente l'accesso generico.

Livello di prezzo:Premium o Standard

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:445 e UDP:445.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_DNS_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta DNS aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:53 e UDP:53.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_ELASTICSEARCH_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta ELASTICSEARCH aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:9200, 9300.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_FIREWALL

Descrizione del risultato:Un firewall è configurato per essere aperto all'accesso pubblico.

Livello di prezzo:Premium o Standard

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • PCI-DSS v3.2.1: 1.2.1

Controlla le proprietà sourceRanges e allowed per una delle due configurazioni:

  • La proprietà sourceRanges contiene 0.0.0.0/0 e la proprietà allowed contiene una combinazione di regole che include qualsiasi protocol o protocol:port, ad eccezione di quanto segue:
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • La proprietà sourceRanges contiene una combinazione di intervalli IP che include qualsiasi indirizzo IP non privato e la proprietà allowed contiene una combinazione di regole che consentono tutte le porte TCP o tutte le porte UDP.

Nome della categoria nell'API: OPEN_FTP_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta FTP aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per il seguente protocollo e porta: TCP:21.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_HTTP_PORT

Descrizione del risultato: Un firewall è configurato in modo da avere una porta HTTP aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:80.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_LDAP_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta LDAP aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:389, 636 e UDP:389.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_MEMCACHED_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta MEMCACHED aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:11211, 11214-11215 e UDP:11211, 11214-11215.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_MONGODB_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta MONGODB aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:27017-27019.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_MYSQL_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta MySQL aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per il seguente protocollo e porta: TCP:3306.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_NETBIOS_PORT

Descrizione del risultato:Un firewall è configurato per avere una porta NETBIOS aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:137-139 e UDP:137-139.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_ORACLEDB_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta ORACLEDB aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:1521, 2483-2484 e UDP:2483-2484.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_POP3_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta POP3 aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per il seguente protocollo e porta: TCP:110.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_POSTGRESQL_PORT

Descrizione del risultato: Un firewall è configurato in modo da avere una porta PostgreSQL aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:5432 e UDP:5432.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_RDP_PORT

Descrizione della ricerca: Un firewall è configurato in modo da avere una porta RDP aperta che consente l'accesso generico.

Livello di prezzo:Premium o Standard

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • CIS GCP Foundation 3.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Controlla la proprietà allowed nei metadati del firewall per i seguenti protocolli e porte: TCP:3389 e UDP:3389.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_REDIS_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta REDIS aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica se la proprietà allowed nei metadati del firewall contiene il seguente protocollo e porta: TCP:6379.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_SMTP_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta SMTP aperta che consente l'accesso generico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica se la proprietà allowed nei metadati del firewall contiene il seguente protocollo e porta: TCP:25.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_SSH_PORT

Descrizione del risultato:Un firewall è configurato in modo da avere una porta SSH aperta che consente l'accesso generico.

Livello di prezzo:Premium o Standard

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • CIS GCP Foundation 3.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

Verifica se la proprietà allowed nei metadati del firewall contiene i seguenti protocolli e porte: TCP:22 e SCTP:22.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_TELNET_PORT

Descrizione del risultato:Un firewall è configurato per avere una porta TELNET aperta che consente l'accesso generico.

Livello di prezzo:Premium o Standard

Asset supportati
compute.googleapis.com/Firewall

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

Verifica se la proprietà allowed nei metadati del firewall contiene il seguente protocollo e porta: TCP:23.

  • Scansioni in tempo reale: sì

Risultati di vulnerabilità IAM

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alla configurazione di Identity and Access Management (IAM) e appartengono al tipo di rilevatore IAM_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: ACCESS_TRANSPARENCY_DISABLED

Descrizione del risultato: Google Cloud Access Transparency è disattivato per la tua organizzazione. Access Transparency registra i log quando i dipendenti accedono ai progetti della tua organizzazione per fornire assistenza. Google Cloud Attiva Access Transparency per registrare chi di Google Cloud accede alle tue informazioni, quando e perché.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14
  • CIS GCP Foundation 3.0: 2.14

Controlla se Access Transparency è attivato per la tua organizzazione.

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ADMIN_SERVICE_ACCOUNT

Descrizione del risultato:Un account di servizio dispone dei privilegi Amministratore, Proprietario o Editor. Questi ruoli non devono essere assegnati a service account creati dall'utente.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • CIS GCP Foundation 3.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

Controlla il criterio di autorizzazione IAM nei metadati delle risorse per eventuali service account creati dall'utente (indicati dal prefisso iam.gserviceaccount.com) a cui sono assegnati roles/Owner o roles/Editor oppure un ID ruolo che contiene admin.

  • Asset esclusi dalle scansioni: account di servizio Container Registry (containerregistry.iam.gserviceaccount.com) e il account di servizio Security Command Center (security-center-api.iam.gserviceaccount.com)
  • Scansioni in tempo reale: sì, a meno che l'aggiornamento IAM non venga eseguito su una cartella

Nome della categoria nell'API: ESSENTIAL_CONTACTS_NOT_CONFIGURED

Descrizione del risultato:La tua organizzazione non ha designato una persona o un gruppo per ricevere notifiche da Google Cloud in merito a eventi importanti come attacchi, vulnerabilità e incidenti di dati all'interno della tua organizzazione Google Cloud . Ti consigliamo di designare come contatto essenziale una o più persone o gruppi della tua organizzazione aziendale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • CIS GCP Foundation 3.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

Verifica che sia specificato un contatto per le seguenti categorie di contatti essenziali:

  • Legale
  • Sicurezza
  • Sospensione
  • Tecnico

  • Scansioni in tempo reale: No

Nome della categoria nell'API: KMS_ROLE_SEPARATION

Descrizione del risultato:La separazione dei compiti non viene applicata ed esiste un utente che dispone contemporaneamente di uno dei seguenti ruoli Cloud Key Management Service (Cloud KMS): Autore crittografia/decrittografia CryptoKey, Autore crittografia o Autore decrittografia.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Controlla le policy di autorizzazione IAM nei metadati delle risorse e recupera le entità a cui sono assegnati uno qualsiasi dei seguenti ruoli contemporaneamente: roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter e roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer.
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: NON_ORG_IAM_MEMBER

Descrizione del risultato: Esiste un utente che non utilizza le credenziali dell'organizzazione. Per CIS GCP Foundations 1.0, attualmente, solo le identità con indirizzi email @gmail.com attivano questo rilevatore.

Livello di prezzo:Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • CIS GCP Foundation 3.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Confronta gli indirizzi email @gmail.com nel campo user nei metadati della policy di autorizzazione IAM con un elenco di identità approvate per la tua organizzazione.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: OPEN_GROUP_IAM_MEMBER

Descrizione del risultato:Un account Google Gruppi a cui è possibile iscriversi senza approvazione viene utilizzato come entità dei criteri di autorizzazione IAM.

Livello di prezzo:Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla i criteri IAM nei metadati delle risorse per eventuali associazioni contenenti un membro (entità) con il prefisso group. Se il gruppo è un gruppo aperto, Security Health Analytics genera questo risultato.
  • Input aggiuntivi: legge i metadati del gruppo Google per verificare se il gruppo identificato è un gruppo aperto.
  • Scansioni in tempo reale: No

Nome della categoria nell'API: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

Descrizione del risultato:Un utente dispone del ruolo Utente service account o Creatore token service account a livello di progetto, anziché per un account di servizio specifico.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • CIS GCP Foundation 3.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Controlla la policy IAM consentita nei metadati della risorsa per eventuali entità assegnate roles/iam.serviceAccountUser o roles/iam.serviceAccountTokenCreator a livello di progetto.
  • Asset esclusi dalle scansioni: service account Cloud Build
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: PRIMITIVE_ROLES_USED

Descrizione del risultato:Un utente ha uno dei seguenti ruoli di base:

  • Proprietario (roles/owner)
  • Editor (roles/editor)
  • Visualizzatore (roles/viewer)

Questi ruoli sono troppo permissivi e non devono essere utilizzati.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Controlla i criteri di autorizzazione IAM nei metadati delle risorse per tutte le entità a cui è assegnato un ruolo roles/owner, roles/editor o roles/viewer.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: REDIS_ROLE_USED_ON_ORG

Descrizione del risultato: Un ruolo IAM Redis è assegnato a livello di organizzazione o cartella.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization

Correggi questo risultato

Standard di conformità:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

Controlla la policy di autorizzazione IAM nei metadati delle risorse per i principal a cui sono assegnati roles/redis.admin, roles/redis.editor, roles/redis.viewer a livello di organizzazione o cartella.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SERVICE_ACCOUNT_ROLE_SEPARATION

Descrizione del risultato:A un utente sono stati assegnati i ruoli Amministratore service account e Utente service account. Ciò viola il principio di "separazione dei compiti".

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • CIS GCP Foundation 3.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
Controlla il criterio di autorizzazione IAM nei metadati della risorsa per eventuali entità a cui sono assegnati sia roles/iam.serviceAccountUser sia roles/iam.serviceAccountAdmin.
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SERVICE_ACCOUNT_KEY_NOT_ROTATED

Descrizione del risultato: Una chiave del account di servizio non è stata ruotata per più di 90 giorni.

Livello di prezzo: Premium

Asset supportati
iam.googleapis.com/ServiceAccountKey

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7
  • CIS GCP Foundation 3.0: 1.7

Valuta il timestamp di creazione della chiave acquisito nella proprietà validAfterTime nei metadati della chiave dei service account.

  • Asset esclusi dalle scansioni: chiavi del account di servizio scadute e chiavi non gestite dagli utenti
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: USER_MANAGED_SERVICE_ACCOUNT_KEY

Descrizione del risultato:Un utente gestisce una chiave dell'account di servizio.

Livello di prezzo: Premium

Asset supportati
iam.googleapis.com/ServiceAccountKey

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4
  • CIS GCP Foundation 3.0: 1.4

Verifica se la proprietà keyType nei metadati della chiave del account di servizio è impostata su User_Managed.

  • Scansioni in tempo reale: sì

Risultati di vulnerabilità di KMS

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di Cloud KMS e appartengono al tipo di rilevatore KMS_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: KMS_KEY_NOT_ROTATED

Descrizione del risultato:La rotazione non è configurata per una chiave di crittografia Cloud KMS. Le chiavi devono essere ruotate entro un periodo di 90 giorni.

Livello di prezzo: Premium

Asset supportati
cloudkms.googleapis.com/CryptoKey

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Controlla i metadati della risorsa per verificare l'esistenza delle proprietà rotationPeriod o nextRotationTime.

  • Asset esclusi dalle scansioni: chiavi asimmetriche e chiavi con versioni principali disabilitate o eliminate
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: KMS_PROJECT_HAS_OWNER

Descrizione del risultato:Un utente dispone delle autorizzazioni di Proprietario per un progetto protetto da chiavi di crittografia.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla la policy di autorizzazione IAM nei metadati del progetto per le entità a cui è assegnato roles/Owner.

  • Input aggiuntivi: legge le chiavi di crittografia per un progetto dallo spazio di archiviazione, registrando i risultati solo per i progetti con chiavi di crittografia
  • Scansioni in tempo reale: sì, ma solo in caso di modifiche al criterio di autorizzazione IAM, non alle chiavi KMS

Nome della categoria nell'API: KMS_PUBLIC_KEY

Descrizione del risultato: Una chiave di crittografia Cloud KMS è accessibile pubblicamente.

Livello di prezzo: Premium

Asset supportati
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • CIS GCP Foundation 3.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla la policy di autorizzazione IAM nei metadati della risorsa per le entità allUsers o allAuthenticatedUsers, che concedono l'accesso pubblico.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: TOO_MANY_KMS_USERS

Descrizione del risultato:Esistono più di tre utenti di chiavi di crittografia.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudkms.googleapis.com/CryptoKey

Correggi questo risultato

Standard di conformità:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
Controlla le policy di autorizzazione IAM per i portachiavi, i progetti e le organizzazioni e recupera i principal con ruoli che consentono loro di criptare, decriptare o firmare dati utilizzando le chiavi Cloud KMS: roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer e roles/cloudkms.signerVerifier.
  • Input aggiuntivi: legge le versioni delle chiavi di crittografia per una chiave di crittografia dall'archivio, registrando i risultati solo per le chiavi con versioni attive. Il rilevatore legge anche le policy IAM di autorizzazione di portachiavi, progetti e organizzazioni dall'archiviazione
  • Scansioni in tempo reale: sì

Registrazione dei risultati di vulnerabilità

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di logging e appartengono al tipo di rilevatore LOGGING_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: AUDIT_LOGGING_DISABLED

Descrizione del risultato:La registrazione degli audit è stata disattivata per questa risorsa.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • CIS GCP Foundation 3.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

Controlla il criterio di autorizzazione IAM nei metadati della risorsa per verificare l'esistenza di un oggetto auditLogConfigs.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: BUCKET_LOGGING_DISABLED

Descrizione del risultato: Esiste un bucket di archiviazione senza logging abilitato.

Livello di prezzo: Premium

Asset supportati
storage.googleapis.com/Bucket

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 5.3

Controlla se il campo logBucket nella proprietà logging del bucket è vuoto.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: LOCKED_RETENTION_POLICY_NOT_SET

Descrizione del problema: Non è impostata una policy di conservazione bloccata per i log.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
storage.googleapis.com/Bucket

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • CIS GCP Foundation 3.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla se il campo isLocked nella proprietà retentionPolicy del bucket è impostato su true.

  • Input aggiuntivi: legge il sink di log (il filtro dei log e la destinazione dei log) per un bucket per determinare se si tratta di un bucket dei log
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: LOG_NOT_EXPORTED

Descrizione del problema:Esiste una risorsa per la quale non è configurato un sink di log appropriato.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • CIS GCP Foundation 3.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

Recupera un oggetto logSink in un progetto, verificando che il campo includeChildren sia impostato su true, che il campo destination includa la posizione in cui scrivere i log e che il campo filter sia compilato.

  • Input aggiuntivi: legge il sink di log (il filtro dei log e la destinazione dei log) per un bucket per determinare se si tratta di un bucket dei log
  • Scansioni in tempo reale: sì, ma solo in caso di modifiche al progetto, non se l'esportazione dei log è configurata a livello di cartella o organizzazione

Nome della categoria nell'API: OBJECT_VERSIONING_DISABLED

Descrizione del problema:Il controllo delle versioni degli oggetti non è abilitato in un bucket di archiviazione in cui sono configurati i sink.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
storage.googleapis.com/Bucket

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

Controlla se il campo enabled nella proprietà versioning del bucket è impostato su true.

  • Asset esclusi dalle scansioni: bucket Cloud Storage con un criterio di conservazione bloccato
  • Input aggiuntivi: legge il sink di log (il filtro dei log e la destinazione dei log) per un bucket per determinare se si tratta di un bucket dei log
  • Scansioni in tempo reale: sì, ma solo se le versioni degli oggetti cambiano, non se vengono creati bucket di log

Monitoraggio dei risultati relativi alle vulnerabilità

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di monitoraggio e appartengono al tipo MONITORING_SCANNER. Tutte le proprietà dei risultati del rilevatore di Monitoring includono:

  • Il RecommendedLogFilter da utilizzare per creare le metriche dei log.
  • Il QualifiedLogMetricNames che copre le condizioni elencate nel filtro dei log consigliato.
  • AlertPolicyFailureReasonsche indicano se il progetto non ha policy di avviso create per nessuna delle metriche di log qualificate o se le policy di avviso esistenti non hanno le impostazioni consigliate.
Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: AUDIT_CONFIG_NOT_MONITORED

Descrizione del problema:Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla configurazione di controllo.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • CIS GCP Foundation 3.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:* e, se è specificato resource.type, che il valore sia global. Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
  • Autorizzazioni IAM aggiuntive: roles/monitoring.alertPolicyViewer
  • Input aggiuntivi: legge le metriche dei log per il progetto dallo spazio di archiviazione. Legge le informazioni dell'account Google Cloud Observability da Google Cloud Observability, registrando i risultati solo per i progetti con account attivi
  • Scansioni in tempo reale: No

Nome della categoria nell'API: BUCKET_IAM_NOT_MONITORED

Descrizione del risultato:Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle autorizzazioni IAM di Cloud Storage.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions". Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
  • Autorizzazioni IAM aggiuntive: roles/monitoring.alertPolicyViewer
  • Input aggiuntivi: legge le metriche dei log per il progetto dallo spazio di archiviazione. Legge le informazioni dell'account Google Cloud Observability da Google Cloud Observability, registrando i risultati solo per i progetti con account attivi
  • Scansioni in tempo reale: No

Nome della categoria nell'API: CUSTOM_ROLE_NOT_MONITORED

Descrizione del risultato:Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche ai ruoli personalizzati.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • CIS GCP Foundation 3.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"). Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
  • Autorizzazioni IAM aggiuntive: roles/monitoring.alertPolicyViewer
  • Input aggiuntivi: legge le metriche dei log per il progetto dallo spazio di archiviazione. Legge le informazioni dell'account Google Cloud Observability da Google Cloud Observability, registrando i risultati solo per i progetti con account attivi
  • Scansioni in tempo reale: No

Nome della categoria nell'API: FIREWALL_NOT_MONITORED

Descrizione del risultato:Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall di rete Virtual Private Cloud (VPC).

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • CIS GCP Foundation 3.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete"). Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
  • Autorizzazioni IAM aggiuntive: roles/monitoring.alertPolicyViewer
  • Input aggiuntivi: legge le metriche dei log per il progetto dallo spazio di archiviazione. Legge le informazioni dell'account Google Cloud Observability da Google Cloud Observability, registrando i risultati solo per i progetti con account attivi
  • Scansioni in tempo reale: No

Nome della categoria nell'API: NETWORK_NOT_MONITORED

Descrizione del problema: Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • CIS GCP Foundation 3.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering"). Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
  • Autorizzazioni IAM aggiuntive: roles/monitoring.alertPolicyViewer
  • Input aggiuntivi: legge le metriche dei log per il progetto dallo spazio di archiviazione. Legge le informazioni dell'account Google Cloud Observability da Google Cloud Observability, registrando i risultati solo per i progetti con account attivi
  • Scansioni in tempo reale: No

Nome della categoria nell'API: OWNER_NOT_MONITORED

Descrizione del problema: Le metriche di log e gli avvisi non sono configurati per monitorare le assegnazioni o le modifiche alla proprietà del progetto.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • CIS GCP Foundation 3.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") e, se è specificato resource.type, che il valore sia global. Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
  • Autorizzazioni IAM aggiuntive: roles/monitoring.alertPolicyViewer
  • Input aggiuntivi: legge le metriche dei log per il progetto dallo spazio di archiviazione. Legge le informazioni dell'account Google Cloud Observability da Google Cloud Observability, registrando i risultati solo per i progetti con account attivi
  • Scansioni in tempo reale: No

Nome della categoria nell'API: ROUTE_NOT_MONITORED

Descrizione del problema:Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • CIS GCP Foundation 3.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert"). Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
  • Autorizzazioni IAM aggiuntive: roles/monitoring.alertPolicyViewer
  • Input aggiuntivi: legge le metriche dei log per il progetto dallo spazio di archiviazione. Legge le informazioni dell'account Google Cloud Observability da Google Cloud Observability, registrando i risultati solo per i progetti con account attivi
  • Scansioni in tempo reale: No

SQL_INSTANCE_NOT_MONITORED

Descrizione del risultato:Le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla configurazione dell'istanza Cloud SQL.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
cloudresourcemanager.googleapis.com/Project

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • CIS GCP Foundation 3.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
Controlla se la proprietà filter della risorsa LogsMetric del progetto è impostata su protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete" e, se è specificato resource.type, che il valore sia global. Il rilevatore cerca anche una risorsa alertPolicy corrispondente, verificando che le proprietà conditions e notificationChannels siano configurate correttamente.
  • Autorizzazioni IAM aggiuntive: roles/monitoring.alertPolicyViewer
  • Input aggiuntivi: legge le metriche dei log per il progetto dallo spazio di archiviazione. Legge le informazioni dell'account Google Cloud Observability da Google Cloud Observability, registrando i risultati solo per i progetti con account attivi
  • Scansioni in tempo reale: No

Risultati dell'autenticazione a più fattori

Il rilevatore MFA_SCANNER identifica le vulnerabilità relative all'autenticazione a più fattori per gli utenti.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: MFA_NOT_ENFORCED

Esistono utenti che non utilizzano la verifica in due passaggi.

Google Workspace ti consente di specificare un periodo di tolleranza per la registrazione per i nuovi utenti durante il quale devono registrarsi per la verifica in due passaggi. Questo rilevatore crea risultati per gli utenti durante il periodo di tolleranza per la registrazione.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Livello di prezzo:Premium o Standard

Asset supportati
cloudresourcemanager.googleapis.com/Organization

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • CIS GCP Foundation 3.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

Valuta i criteri di gestione delle identità nelle organizzazioni e le impostazioni utente per gli account gestiti in Cloud Identity.

  • Asset esclusi dalle scansioni: unità organizzative a cui sono state concesse eccezioni alle norme
  • Input aggiuntivi: legge i dati da Google Workspace
  • Scansioni in tempo reale: No

Risultati di vulnerabilità di rete

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di rete di un'organizzazione e appartengono al tipoNETWORK_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: DEFAULT_NETWORK

Descrizione del problema: La rete predefinita esiste in un progetto.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Network

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • CIS GCP Foundation 3.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Controlla se la proprietà name nei metadati di rete è impostata su default

  • Asset esclusi dalle scansioni: progetti in cui l'API Compute Engine è disabilitata e le risorse Compute Engine sono in uno stato bloccato
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: DNS_LOGGING_DISABLED

Descrizione del risultato: Il logging DNS su una rete VPC non è abilitato.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Network
dns.googleapis.com/Policy

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • CIS GCP Foundation 3.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

Controlla tutti i policies associati a una rete VPC tramite il campo networks[].networkUrl e cerca almeno una policy con enableLogging impostato su true.

  • Asset esclusi dalle scansioni: progetti in cui l'API Compute Engine è disabilitata e le risorse Compute Engine sono in uno stato bloccato
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: LEGACY_NETWORK

Descrizione del problema: Esiste una rete legacy in un progetto.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Network

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • CIS GCP Foundation 3.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

Controlla i metadati della rete per verificare l'esistenza della proprietà IPv4Range.

  • Asset esclusi dalle scansioni: progetti in cui l'API Compute Engine è disabilitata e le risorse Compute Engine sono in uno stato bloccato
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: LOAD_BALANCER_LOGGING_DISABLED

Descrizione del problema:Il logging è disabilitato per il bilanciatore del carico.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/BackendServices

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 2.0: 2.16
  • CIS GCP Foundation 3.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

Controlla se la proprietà enableLogging del servizio di backend sul bilanciatore del carico è impostata su true.

  • Scansioni in tempo reale: sì

Risultati di vulnerabilità delle policy dell'organizzazione

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni dei vincoli dei criteri dell'organizzazione e appartengono al tipo ORG_POLICY.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: ORG_POLICY_CONFIDENTIAL_VM_POLICY

Descrizione del risultato: Una risorsa Compute Engine non è conforme ai criteri dell'organizzazione constraints/compute.restrictNonConfidentialComputing. Per saperne di più su questo vincolo delle policy dell'organizzazione, consulta Applicazione dei vincoli delle policy dell'organizzazione in Confidential VM.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla se la proprietà enableConfidentialCompute di un'istanza Compute Engine è impostata su true.

  • Asset esclusi dalle scansioni: istanze GKE
  • Autorizzazioni IAM aggiuntive: permissions/orgpolicy.policy.get
  • Input aggiuntivi: legge il criterio dell'organizzazione effettivo dal servizio criteri dell'organizzazione
  • Scansioni in tempo reale: No

Nome della categoria nell'API: ORG_POLICY_LOCATION_RESTRICTION

Descrizione del problema: Una risorsa Compute Engine non è conforme al vincolo constraints/gcp.resourceLocations. Per saperne di più su questo vincolo delle policy dell'organizzazione, consulta Applicazione dei vincoli delle policy dell'organizzazione.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.

Livello di prezzo: Premium

Asset supportati
Nella riga seguente, vedi Asset supportati per ORG_POLICY_LOCATION_RESTRICTION

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla la proprietà listPolicy nei metadati delle risorse supportate per un elenco di località consentite o negate.

  • Autorizzazioni IAM aggiuntive: permissions/orgpolicy.policy.get
  • Input aggiuntivi: legge il criterio dell'organizzazione effettivo dal servizio criteri dell'organizzazione
  • Scansioni in tempo reale: No

Asset supportati per ORG_POLICY_LOCATION_RESTRICTION

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Poiché gli asset Cloud KMS non possono essere eliminati, l'asset non è considerato fuori regione se i dati dell'asset sono stati eliminati.

2 Poiché i job di importazione di Cloud KMS hanno un ciclo di vita controllato e non possono essere terminati in anticipo, un ImportJob non è considerato fuori regione se è scaduto e non può più essere utilizzato per importare chiavi.

3 Poiché il ciclo di vita dei job Dataflow non può essere gestito, un job non viene considerato fuori regione una volta raggiunto uno stato terminale (arrestato o svuotato), in cui non può più essere utilizzato per elaborare i dati.

Risultati di vulnerabilità Pub/Sub

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di Pub/Sub e appartengono al tipo PUBSUB_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: PUBSUB_CMEK_DISABLED

Descrizione del problema:Un argomento Pub/Sub non è criptato con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
pubsub.googleapis.com/Topic

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla il campo kmsKeyName per il nome della risorsa della tua chiave CMEK.

  • Scansioni in tempo reale: sì

Risultati relativi alle vulnerabilità SQL

Le sezioni seguenti descrivono i risultati delle vulnerabilità per AlloyDB per PostgreSQL e Cloud SQL.

Risultati delle vulnerabilità di AlloyDB per PostgreSQL

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di AlloyDB per PostgreSQL e appartengono al tipo SQL_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: ALLOYDB_AUTO_BACKUP_DISABLED

Descrizione del risultato: Un cluster AlloyDB per PostgreSQL non ha i backup automatici abilitati.

Livello di prezzo: Premium

Asset supportati
alloydb.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Verifica se la proprietà automated_backup_policy.enabled nei metadati di un cluster AlloyDB per PostgreSQL è impostata su true.

  • Asset esclusi dalle scansioni: cluster secondari AlloyDB per PostgreSQL
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: ALLOYDB_BACKUPS_DISABLED

Descrizione del risultato: Un cluster AlloyDB per PostgreSQL non ha i backup abilitati.

Livello di prezzo: Premium

Asset supportati
alloydb.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

Verifica se le proprietà automated_backup_policy.enabled o continuous_backup_policy.enabled nei metadati di un cluster AlloyDB per PostgreSQL sono impostate su true.

  • Asset esclusi dalle scansioni: cluster secondari AlloyDB per PostgreSQL
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: ALLOYDB_CMEK_DISABLED

Descrizione del problema:un cluster AlloyDB non è criptato con chiavi di crittografia gestite dal cliente (CMEK).

Livello di prezzo: Premium

Asset supportati
alloydb.googleapis.com/Cluster

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

Controlla il campo encryption_type nei metadati del cluster per determinare se CMEK è abilitata.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

Descrizione del problema: Il flag di database log_min_error_statement per un'istanza AlloyDB per PostgreSQL non è impostato su error o su un altro valore consigliato.

Livello di prezzo: Premium

Asset supportati
alloydb.googleapis.com/Instances

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Per garantire una copertura adeguata dei tipi di messaggio nei log, genera un risultato se il campo log_min_error_statement della proprietà databaseFlags non è impostato su uno dei seguenti valori: debug5, debug4, debug3, debug2, debug1, info, notice, warning o il valore predefinito error.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: ALLOYDB_LOG_MIN_MESSAGES

Descrizione del problema:Il flag di database log_min_messages per un'istanza AlloyDB per PostgreSQL non è impostato su warning o su un altro valore consigliato.

Livello di prezzo: Premium

Asset supportati
alloydb.googleapis.com/Instances

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Per garantire una copertura adeguata dei tipi di messaggio nei log, genera un risultato se il campo log_min_messages della proprietà databaseFlags non è impostato su uno dei seguenti valori: debug5, debug4, debug3, debug2, debug1, info, notice o il valore predefinito warning.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: ALLOYDB_LOG_ERROR_VERBOSITY

Descrizione del problema: Il flag di database log_error_verbosity per un'istanza AlloyDB per PostgreSQL non è impostato su default o su un altro valore consigliato.

Livello di prezzo: Premium

Asset supportati
alloydb.googleapis.com/Instances

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

Per garantire una copertura adeguata dei tipi di messaggio nei log, genera un risultato se il campo log_error_verbosity della proprietà databaseFlags non è impostato su uno dei seguenti valori: verbose o sul valore predefinito default.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: ALLOYDB_PUBLIC_IP

Descrizione del risultato: Un'istanza di database AlloyDB per PostgreSQL ha un indirizzo IP pubblico.

Livello di prezzo: Premium

Asset supportati
alloydb.googleapis.com/Instances

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Controlla se il campo instanceNetworkConfig proprietà enablePublicIp è configurato per consentire indirizzi IP pubblici.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: ALLOYDB_SSL_NOT_ENFORCED

Descrizione del risultato:un'istanza del database AlloyDB per PostgreSQL non richiede che tutte le connessioni in entrata utilizzino SSL.

Livello di prezzo: Premium

Asset supportati
alloydb.googleapis.com/Instances

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Verifica se la proprietà sslMode dell'istanza AlloyDB per PostgreSQL è impostata su ENCRYPTED_ONLY.

  • Scansioni in tempo reale: sì

Risultati delle vulnerabilità di Cloud SQL

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni di Cloud SQL e appartengono al tipo SQL_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: AUTO_BACKUP_DISABLED

Descrizione del risultato: Un database Cloud SQL non ha i backup automatici abilitati.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • CIS GCP Foundation 3.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Verifica se la proprietà backupConfiguration.enabled di un dati Cloud SQL è impostata su true.

  • Asset esclusi dalle scansioni: repliche Cloud SQL
  • Input aggiuntivi: legge le policy di autorizzazione IAM per gli antenati dall'archivio degli asset di Security Health Analytics
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: PUBLIC_SQL_INSTANCE

Descrizione del problema: Un'istanza del database Cloud SQL accetta connessioni da tutti gli indirizzi IP.

Livello di prezzo:Premium o Standard

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • CIS GCP Foundation 3.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Verifica se la proprietà authorizedNetworks delle istanze Cloud SQL è impostata su un singolo indirizzo IP o un intervallo di indirizzi IP.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SSL_NOT_ENFORCED

Descrizione del problema: Un'istanza del database Cloud SQL non richiede che tutte le connessioni in entrata utilizzino SSL.

Livello di prezzo:Premium o Standard

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Verifica se la proprietà sslMode dell'istanza Cloud SQL è impostata su una modalità SSL approvata, ovvero ENCRYPTED_ONLY o TRUSTED_CLIENT_CERTIFICATE_REQUIRED.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_CMEK_DISABLED

Descrizione del risultato:un'istanza di database SQL non è criptata con chiavi di crittografia gestite dal cliente (CMEK). Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla il campo kmsKeyName nell'oggetto diskEncryptionKey, nei metadati dell'istanza, per il nome della risorsa della tua chiave CMEK.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_CONTAINED_DATABASE_AUTHENTICATION

Descrizione del problema: Il flag di database contained database authentication per un'istanza Cloud SQL per SQL Server non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave-valore "name": "contained database authentication", "value": "on" o se è attivata per impostazione predefinita.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_CROSS_DB_OWNERSHIP_CHAINING

Descrizione del risultato: Il flag di database cross_db_ownership_chaining per un'istanza Cloud SQL per SQL Server non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • CIS GCP Foundation 3.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "cross_db_ownership_chaining", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_EXTERNAL_SCRIPTS_ENABLED

Descrizione del risultato: Il flag di database external scripts enabled per un'istanza Cloud SQL per SQL Server non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • CIS GCP Foundation 3.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "external scripts enabled", "value": "off".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOCAL_INFILE

Descrizione del risultato:Il flag di database local_infile per un'istanza Cloud SQL per MySQL non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • CIS GCP Foundation 3.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "local_infile", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_CHECKPOINTS_DISABLED

Descrizione del problema: Il flag di database log_checkpoints per un'istanza Cloud SQL per PostgreSQL non è impostato su on.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "log_checkpoints", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_CONNECTIONS_DISABLED

Descrizione del problema: Il flag di database log_connections per un'istanza Cloud SQL per PostgreSQL non è impostato su on.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • CIS GCP Foundation 3.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "log_connections", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_DISCONNECTIONS_DISABLED

Descrizione del problema: Il flag di database log_disconnections per un'istanza Cloud SQL per PostgreSQL non è impostato su on.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • CIS GCP Foundation 3.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "log_disconnections", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_DURATION_DISABLED

Descrizione del problema: Il flag di database log_duration per un'istanza Cloud SQL per PostgreSQL non è impostato su on.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.5

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "log_duration", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_ERROR_VERBOSITY

Descrizione del risultato:Il flag di database log_error_verbosity per un'istanza Cloud SQL per PostgreSQL non è impostato su default o verbose.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • CIS GCP Foundation 3.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Controlla se la proprietà databaseFlags dei metadati dell'istanza per il campo log_error_verbosity è impostata su default o verbose.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_LOCK_WAITS_DISABLED

Descrizione del problema: Il flag di database log_lock_waits per un'istanza Cloud SQL per PostgreSQL non è impostato su on.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "log_lock_waits", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

Descrizione del problema: Il flag di database log_min_duration_statement per un'istanza Cloud SQL per PostgreSQL non è impostato su "-1".

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "log_min_duration_statement", "value": "-1".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_MIN_ERROR_STATEMENT

Descrizione del risultato: Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non è impostato correttamente.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.2.5

Verifica se il campo log_min_error_statement della proprietà databaseFlags è impostato su uno dei seguenti valori: debug5, debug4, debug3, debug2, debug1, info, notice, warning o il valore predefinito error.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

Descrizione del risultato:Il flag di database log_min_error_statement per un'istanza Cloud SQL per PostgreSQL non ha un livello di gravità appropriato.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • CIS GCP Foundation 3.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Verifica se il campo log_min_error_statement della proprietà databaseFlags è impostato su uno dei seguenti valori: error, log, fatal o panic.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_MIN_MESSAGES

Descrizione del risultato:Il flag di database log_min_messages per un'istanza Cloud SQL per PostgreSQL non è impostato su warning o su un altro valore consigliato.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • CIS GCP Foundation 3.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Per garantire una copertura adeguata dei tipi di messaggio nei log, genera un risultato se il campo log_min_messages della proprietà databaseFlags non è impostato su uno dei seguenti valori: debug5, debug4, debug3, debug2, debug1, info, notice o il valore predefinito warning.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_EXECUTOR_STATS_ENABLED

Descrizione del problema: Il flag di database log_executor_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.11

Controlla se la proprietà databaseFlags dei metadati dell'istanza per il campo log_executor_stats è impostata su on.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_HOSTNAME_ENABLED

Descrizione del problema: Il flag di database log_hostname per un'istanza Cloud SQL per PostgreSQL non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.8

Controlla se la proprietà databaseFlags dei metadati dell'istanza per il campo log_hostname è impostata su on.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_PARSER_STATS_ENABLED

Descrizione del problema: Il flag di database log_parser_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.9

Controlla se la proprietà databaseFlags dei metadati dell'istanza per il campo log_parser_stats è impostata su on.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_PLANNER_STATS_ENABLED

Descrizione del problema: Il flag di database log_planner_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.10

Controlla se la proprietà databaseFlags dei metadati dell'istanza per il campo log_planner_stats è impostata su on.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_STATEMENT

Descrizione del risultato: Il flag di database log_statement per un'istanza Cloud SQL per PostgreSQL non è impostato su ddl (tutte le istruzioni di definizione dei dati).

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • CIS GCP Foundation 3.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

Controlla se la proprietà databaseFlags dei metadati dell'istanza per il campo log_statement è impostata su ddl.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_STATEMENT_STATS_ENABLED

Descrizione del problema: Il flag di database log_statement_stats per un'istanza Cloud SQL per PostgreSQL non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.2.12

Controlla se la proprietà databaseFlags dei metadati dell'istanza per il campo log_statement_stats è impostata su on.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_LOG_TEMP_FILES

Descrizione del problema: Il flag di database log_temp_files per un'istanza Cloud SQL per PostgreSQL non è impostato su "0".

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "log_temp_files", "value": "0".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_NO_ROOT_PASSWORD

Descrizione del risultato:un database Cloud SQL con un indirizzo IP pubblico non ha una password configurata per l'account root. Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • CIS GCP Foundation 3.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

Controlla se la proprietà rootPassword dell'account principale è vuota.

  • Autorizzazioni IAM aggiuntive: roles/cloudsql.client
  • Input aggiuntivi: esegue query sulle istanze live
  • Scansioni in tempo reale: No

Nome della categoria nell'API: SQL_PUBLIC_IP

Descrizione del risultato:Un database Cloud SQL ha un indirizzo IP pubblico.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • CIS GCP Foundation 3.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Controlla se il tipo di indirizzo IP di un database Cloud SQL è impostato su Primary, che indica che è pubblico.

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_REMOTE_ACCESS_ENABLED

Descrizione del problema: Il flag di database remote access per un'istanza Cloud SQL per SQL Server non è impostato su off.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • CIS GCP Foundation 3.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "remote access", "value": "off".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_SKIP_SHOW_DATABASE_DISABLED

Descrizione del risultato:Il flag di database skip_show_database per un'istanza Cloud SQL per MySQL non è impostato su on.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • CIS GCP Foundation 3.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "skip_show_database", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_TRACE_FLAG_3625

Descrizione del problema: Il flag di database 3625 (trace flag) per un'istanza Cloud SQL per SQL Server non è impostato su on.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • CIS GCP Foundation 3.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "3625 (trace flag)", "value": "on".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_USER_CONNECTIONS_CONFIGURED

Descrizione del risultato: Il flag di database user connections per un'istanza Cloud SQL per SQL Server è configurato.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • CIS GCP Foundation 3.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "user connections", "value": "0".

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_USER_OPTIONS_CONFIGURED

Descrizione del risultato: Il flag di database user options per un'istanza Cloud SQL per SQL Server è configurato.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • CIS GCP Foundation 3.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

Controlla la proprietà databaseFlags dei metadati dell'istanza per la coppia chiave/valore "name": "user options", "value": "" (vuota).

  • Scansioni in tempo reale: sì

Nome della categoria nell'API: SQL_WEAK_ROOT_PASSWORD

Descrizione del risultato:un database Cloud SQL con un indirizzo IP pubblico ha anche una password debole configurata per l'account root. Questo rilevatore richiede una configurazione aggiuntiva per l'attivazione. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
sqladmin.googleapis.com/Instance

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Confronta la password dell'account root del tuo database Cloud SQL con un elenco di password comuni.

  • Autorizzazioni IAM aggiuntive: roles/cloudsql.client
  • Input aggiuntivi: esegue query sulle istanze live
  • Scansioni in tempo reale: No

Risultati di vulnerabilità della subnet

Le vulnerabilità di questo tipo di rilevatore sono tutte correlate alle configurazioni della subnet di un'organizzazione e appartengono al tipoSUBNETWORK_SCANNER.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: FLOW_LOGS_DISABLED

Descrizione del risultato:Esiste una subnet VPC con i log di flusso disabilitati.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Subnetwork

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Controlla se la proprietà enableFlowLogs delle subnet Compute Engine è mancante o impostata su false.

  • Asset esclusi dalle scansioni: Accesso VPC serverless, subnet del bilanciatore del carico
  • Scansioni in tempo reale: sì

Descrizione del risultato: Per una subnet VPC, i log di flusso VPC sono disattivati o non sono configurati in base ai suggerimenti di CIS Benchmark 1.3. Questo rilevatore richiede una configurazione aggiuntiva per essere attivato. Per istruzioni, vedi Attivare e disattivare i rilevatori.

Livello di prezzo: Premium

Asset supportati
compute.googleapis.com/Subnetwork

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • CIS GCP Foundation 3.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

Controlla se la proprietà enableFlowLogs delle subnet VPC è mancante o impostata su false. Se i log di flusso VPC sono abilitati, controlla che la proprietà Aggregation Interval sia impostata su 5 SEC, che Include metadata sia impostato su true, che Sample rate sia impostato su 100%.

  • Asset esclusi dalle scansioni: Accesso VPC serverless, subnet del bilanciatore del carico
  • Scansioni in tempo reale: sì

Nome della categoria nell'API: PRIVATE_GOOGLE_ACCESS_DISABLED

Descrizione del problema: Esistono subnet private senza accesso alle API pubbliche di Google.

Livello di prezzo: Premium

Asset supportati
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

Correggi questo risultato

Standard di conformità:

  • CIS GCP Foundation 1.0: 3.8

Verifica se la proprietà privateIpGoogleAccess delle subnet di Compute Engine è impostata su false.

  • Scansioni in tempo reale: sì

Risultati AWS

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

Descrizione del risultato:

AWS CloudShell è un modo pratico per eseguire comandi CLI sui servizi AWS. Una policy IAM gestita ("AWSCloudShellFullAccess") fornisce l'accesso completo a CloudShell, che consente la funzionalità di caricamento e download di file tra il sistema locale di un utente e l'ambiente CloudShell. Nell'ambiente Cloud Shell, un utente dispone delle autorizzazioni sudo e può accedere a internet. Pertanto, è possibile installare un software di trasferimento di file (ad esempio) e spostare i dati da Cloud Shell a server internet esterni.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • CIS AWS Foundation 2.0.0: 1.22
  • CIS AWS Foundation 3.0.0: 1.22

Assicurati che l'accesso ad AWSCloudShellFullAccess sia limitato

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ACCESS_KEYS_ROTATED_90_DAYS_LESS

Descrizione del risultato:

Le chiavi di accesso sono costituite da un ID chiave di accesso e da una chiave di accesso segreta, che vengono utilizzati per firmare le richieste programmatiche che invii ad AWS. Gli utenti AWS hanno bisogno delle proprie chiavi di accesso per effettuare chiamate programmatiche ad AWS dall'interfaccia a riga di comando AWS (AWS CLI), dagli strumenti per Windows PowerShell, dagli SDK AWS o da chiamate HTTP dirette utilizzando le API per i singoli servizi AWS. Ti consigliamo di ruotare regolarmente tutte le chiavi di accesso.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS AWS Foundation 3.0.0: 1.14
  • CIS Controls 8.0: 5

Assicurati che le chiavi di accesso vengano ruotate ogni 90 giorni o meno

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

Descrizione del risultato:

Per attivare le connessioni HTTPS al tuo sito web o alla tua applicazione in AWS, devi disporre di un certificato del server SSL/TLS. Puoi utilizzare ACM o IAM per archiviare ed eseguire il deployment dei certificati server.
Utilizza IAM come gestore dei certificati solo quando devi supportare le connessioni HTTPS in una regione non supportata da ACM. IAM cripta in modo sicuro le tue chiavi private e memorizza la versione criptata nell'archivio dei certificati SSL di IAM. IAM supporta il deployment dei certificati server in tutte le regioni, ma devi ottenere il certificato da un provider esterno per utilizzarlo con AWS. Non puoi caricare un certificato ACM in IAM. Inoltre, non puoi gestire i certificati dalla console IAM.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS AWS Foundation 3.0.0: 1.19
  • CIS Controls 8.0: 3.1

Verifica che tutti i certificati SSL/TLS scaduti archiviati in AWS IAM vengano rimossi

  • Scansioni in tempo reale: No

Nome della categoria nell'API: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

Descrizione del risultato:

Controlla se i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzano i controlli di integrità di Elastic Load Balancing.

In questo modo, il gruppo può determinare l'integrità di un'istanza in base a test aggiuntivi forniti dal bilanciatore del carico. L'utilizzo dei controlli di integrità di Elastic Load Balancing può contribuire a supportare la disponibilità delle applicazioni che utilizzano i gruppi di scalabilità automatica EC2.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-2

Controlla che tutti i gruppi di scalabilità automatica associati a un bilanciatore del carico utilizzino controlli di integrità

  • Scansioni in tempo reale: No

Nome della categoria nell'API: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

Descrizione del risultato:

Assicurati che le istanze del database RDS abbiano il flag di upgrade automatico della versione secondaria abilitato per ricevere automaticamente gli upgrade secondari del motore durante la periodo di manutenzione specificata. In questo modo, le istanze RDS possono ottenere le nuove funzionalità, le correzioni di bug e le patch di sicurezza per i motori di database.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS AWS Foundation 3.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

Verifica che la funzionalità di upgrade automatico della versione secondaria sia abilitata per le istanze RDS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: AWS_CONFIG_ENABLED_ALL_REGIONS

Descrizione del risultato:

AWS Config è un servizio web che esegue la gestione della configurazione delle risorse AWS supportate all'interno del tuo account e ti fornisce i file di log. Le informazioni registrate includono l'elemento di configurazione (risorsa AWS), le relazioni tra gli elementi di configurazione (risorse AWS) e le modifiche alla configurazione tra le risorse. Ti consigliamo di abilitare AWS Config in tutte le regioni.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS AWS Foundation 3.0.0: 3.5
  • CIS Controls 8.0: 1.1

Assicurati che AWS Config sia abilitato in tutte le regioni

  • Scansioni in tempo reale: No

Nome della categoria nell'API: AWS_SECURITY_HUB_ENABLED

Descrizione del risultato:

Security Hub raccoglie i dati di sicurezza da account, servizi e prodotti partner di terze parti supportati di AWS e ti aiuta ad analizzare le tendenze di sicurezza e a identificare i problemi di sicurezza con la priorità più alta. Quando abiliti Security Hub, inizia a utilizzare, aggregare, organizzare e dare la priorità ai risultati dei servizi AWS che hai abilitato, come Amazon GuardDuty, Amazon Inspector e Amazon Macie. Puoi anche attivare le integrazioni con i prodotti di sicurezza dei partner AWS.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16
  • CIS AWS Foundation 3.0.0: 4.16

Assicurati che AWS Security Hub sia abilitato

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

Descrizione del risultato:

AWS CloudTrail è un servizio web che registra le chiamate API AWS per un account e rende disponibili questi log a utenti e risorse in conformità con le policy IAM. AWS Key Management Service (KMS) è un servizio gestito che consente di creare e controllare le chiavi di crittografia utilizzate per criptare i dati dell'account e utilizza moduli di sicurezza hardware (HSM) per proteggere la sicurezza delle chiavi di crittografia. I log di CloudTrail possono essere configurati per sfruttare la crittografia lato server (SSE) e le chiavi master create dal cliente (CMK) di KMS per proteggere ulteriormente i log di CloudTrail. Ti consigliamo di configurare CloudTrail in modo che utilizzi SSE-KMS.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS AWS Foundation 3.0.0: 3.5
  • CIS Controls 8.0: 3.11

Verifica che i log di CloudTrail siano crittografati at-rest mediante chiavi CMK di KMS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

Descrizione del risultato:

La convalida del file di log di CloudTrail crea un file di riepilogo firmato digitalmente contenente un hash di ogni log che CloudTrail scrive in S3. Questi file di riepilogo possono essere utilizzati per determinare se un file di log è stato modificato, eliminato o lasciato invariato dopo la distribuzione del log da parte di CloudTrail. Ti consigliamo di abilitare la convalida dei file su tutti i CloudTrail.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS AWS Foundation 3.0.0: 3.2
  • CIS Controls 8.0: 8.11

Verifica che la convalida del file di log di CloudTrail sia abilitata

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

Descrizione del risultato:

AWS CloudTrail è un servizio web che registra le chiamate API AWS effettuate in un determinato account AWS. Le informazioni registrate includono l'identità del chiamante API, l'ora della chiamata API, l'indirizzo IP di origine del chiamante API, i parametri della richiesta e gli elementi di risposta restituiti dal servizio AWS. CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di log, pertanto i file di log vengono archiviati in modo duraturo. Oltre ad acquisire i log CloudTrail all'interno di un bucket S3 specificato per l'analisi a lungo termine, è possibile eseguire l'analisi in tempo reale configurando CloudTrail in modo che invii i log a CloudWatch Logs. Per un trail abilitato in tutte le regioni di un account, CloudTrail invia i file di log di tutte queste regioni a un gruppo di log CloudWatch Logs. Ti consigliamo di inviare i log di CloudTrail a CloudWatch Logs.

Nota: lo scopo di questo consiglio è garantire che l'attività dell'account AWS venga acquisita, monitorata e segnalata in modo appropriato. CloudWatch Logs è un modo nativo per farlo utilizzando i servizi AWS, ma non esclude l'utilizzo di una soluzione alternativa.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

Assicurati che i trail di CloudTrail siano integrati con i log di CloudWatch

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CLOUDWATCH_ALARM_ACTION_CHECK

Descrizione del risultato:

Controlla se Amazon CloudWatch ha azioni definite quando un allarme passa tra gli stati "OK", "ALARM" e "INSUFFICIENT_DATA".

La configurazione delle azioni per lo stato ALLARME negli allarmi Amazon CloudWatch è molto importante per attivare una risposta immediata quando le metriche monitorate superano le soglie.
Garantisce una rapida risoluzione dei problemi, riduce i tempi di inattività e consente la correzione automatizzata, mantenendo l'integrità del sistema e prevenendo interruzioni.

Gli allarmi hanno almeno un'azione.
Gli allarmi hanno almeno un'azione quando passano allo stato "INSUFFICIENT_DATA" da qualsiasi altro stato.
(Facoltativo) Gli allarmi hanno almeno un'azione quando l'allarme passa allo stato "OK" da qualsiasi altro stato.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-20

Controlla se per gli allarmi CloudWatch è abilitata almeno un'azione allarme, un'azione INSUFFICIENT_DATA o un'azione Ok.

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CLOUDWATCH_LOG_GROUP_ENCRYPTED

Descrizione del risultato:

Questo controllo garantisce che i log di CloudWatch siano configurati con KMS.

I dati del gruppo di log sono sempre criptati in CloudWatch Logs. Per impostazione predefinita, CloudWatch Logs utilizza la crittografia lato server per i dati di log at-rest. In alternativa, puoi utilizzare AWS Key Management Service per questa crittografia. In questo caso, la crittografia viene eseguita utilizzando una chiave KMS di AWS. La crittografia tramite AWS KMS è abilitata a livello di gruppo di log associando una chiave KMS a un gruppo di log, al momento della creazione del gruppo di log o dopo la sua esistenza.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • PCI-DSS v3.2.1: 3.4

Controlla che tutti i gruppi di log in Amazon CloudWatch Logs siano criptati con KMS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

Descrizione del risultato:

Questo controllo verifica se i trail di CloudTrail sono configurati per inviare i log a CloudWatch Logs. Il controllo non va a buon fine se la proprietà CloudWatchLogsLogGroupArn della traccia è vuota.

CloudTrail registra le chiamate API AWS effettuate in un determinato account. Le informazioni registrate includono quanto segue:

  • L'identità del chiamante API
  • L'ora della chiamata API
  • L'indirizzo IP di origine del chiamante API
  • Parametri di richiesta
  • Gli elementi di risposta restituiti dal servizio AWS

CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di log. Puoi acquisire i log di CloudTrail in un bucket S3 specificato per l'analisi a lungo termine. Per eseguire l'analisi in tempo reale, puoi configurare CloudTrail in modo che invii i log a CloudWatch Logs.

Per un trail abilitato in tutte le regioni di un account, CloudTrail invia i file di log di tutte queste regioni a un gruppo di log CloudWatch Logs.

Security Hub consiglia di inviare i log di CloudTrail a CloudWatch Logs. Tieni presente che questo consiglio ha lo scopo di garantire che l'attività dell'account venga acquisita, monitorata e segnalata in modo appropriato. Puoi utilizzare CloudWatch Logs per configurare questa impostazione con i tuoi servizi AWS. Questo consiglio non esclude l'utilizzo di una soluzione diversa.

L'invio dei log CloudTrail a CloudWatch Logs facilita la registrazione dell'attività in tempo reale e storica in base a utente, API, risorsa e indirizzo IP. Puoi utilizzare questo approccio per impostare sveglie e notifiche per attività anomale o sensibili dell'account.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

Controlla che tutti i trail di CloudTrail siano configurati in modo da inviare i log ad AWS CloudWatch

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

Descrizione del risultato:

Controlla se il progetto contiene le variabili di ambiente AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY.

Le credenziali di autenticazione AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non devono mai essere archiviate in testo non crittografato, in quanto ciò potrebbe comportare l'esposizione involontaria dei dati e l'accesso non autorizzato.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5, SA-3

Controlla che tutti i progetti contenenti le variabili env AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non siano in testo non crittografato

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

Descrizione del risultato:

Controlla se l'URL del repository di origine Bitbucket di un progetto AWS CodeBuild contiene token di accesso personale o un nome utente e una password. Il controllo non va a buon fine se l'URL del repository di origine Bitbucket contiene token di accesso personale o un nome utente e una password.

Le credenziali di accesso non devono essere archiviate o trasmesse in testo non crittografato né visualizzate nell'URL del repository di origine. Anziché token di accesso personali o credenziali di accesso, devi accedere al provider di origine in CodeBuild e modificare l'URL del repository di origine in modo che contenga solo il percorso della posizione del repository Bitbucket. L'utilizzo di token di accesso personale o credenziali di accesso potrebbe comportare l'esposizione involontaria di dati o l'accesso non autorizzato.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla che tutti i progetti che usano github o bitbucket come origine utilizzino oauth

  • Scansioni in tempo reale: No

Nome della categoria nell'API: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

Descrizione del risultato:

Gli utenti AWS IAM possono accedere alle risorse AWS utilizzando diversi tipi di credenziali, come password o chiavi di accesso. Ti consigliamo di disattivare o rimuovere tutte le credenziali inutilizzate da almeno 45 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS AWS Foundation 3.0.0: 1.12
  • CIS Controls 8.0: 5.3

Verifica che le credenziali non utilizzate per almeno 45 giorni siano disattivate

  • Scansioni in tempo reale: No

Nome della categoria nell'API: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

Descrizione del risultato:

Un VPC è dotato di un gruppo di sicurezza predefinito le cui impostazioni iniziali negano tutto il traffico in entrata, consentono tutto il traffico in uscita e consentono tutto il traffico tra le istanze assegnate al gruppo di sicurezza. Se non specifichi un gruppo di sicurezza quando avvii un'istanza, questa viene assegnata automaticamente a questo gruppo di sicurezza predefinito. I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata/uscita verso le risorse AWS. Ti consigliamo di limitare tutto il traffico nel gruppo di sicurezza predefinito.

Il VPC predefinito in ogni regione deve avere il gruppo di sicurezza predefinito aggiornato per essere conforme. Tutti i VPC appena creati conterranno automaticamente un gruppo di sicurezza predefinito che dovrà essere corretto per rispettare questo consiglio.

NOTA:quando implementi questo consiglio, il logging dei flussi VPC è prezioso per determinare l'accesso alle porte con privilegio minimo richiesto dai sistemi per funzionare correttamente, perché può registrare tutte le accettazioni e i rifiuti di pacchetti che si verificano nei gruppi di sicurezza attuali. In questo modo si riduce notevolmente la barriera principale all'ingegneria del privilegio minimo: scoprire le porte minime richieste dai sistemi nell'ambiente. Anche se il consiglio relativo al logging del flusso VPC in questo benchmark non viene adottato come misura di sicurezza permanente, deve essere utilizzato durante qualsiasi periodo di rilevamento e progettazione per i gruppi di sicurezza con privilegi minimi.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS AWS Foundation 3.0.0: 5.4
  • CIS Controls 8.0: 3.3

Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico

  • Scansioni in tempo reale: No

Nome della categoria nell'API: DMS_REPLICATION_NOT_PUBLIC

Descrizione del risultato:

Controlla se le istanze di replica di AWS DMS sono pubbliche. A questo scopo, esamina il valore del campo PubliclyAccessible.

Un'istanza di replica privata ha un indirizzo IP privato a cui non puoi accedere al di fuori della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve anche essere connessa al VPC dell'istanza di replica utilizzando una VPN, AWS Direct Connect o il peering VPC. Per saperne di più sulle istanze di replica pubbliche e private, consulta la sezione Istanze di replica pubbliche e private nella Guida per l'utente di AWS Database Migration Service.

Devi anche assicurarti che l'accesso alla configurazione dell'istanza AWS DMS sia limitato solo agli utenti autorizzati. Per farlo, limita le autorizzazioni IAM degli utenti alla modifica delle impostazioni e delle risorse AWS DMS.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Controlla se le istanze di replica di AWS Database Migration Service sono pubbliche

  • Scansioni in tempo reale: No

Nome della categoria nell'API: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

Descrizione del risultato:

Per impostazione predefinita, nella console AWS non sono selezionate caselle di controllo quando viene creato un nuovo utente IAM. Quando crei le credenziali utente IAM, devi determinare il tipo di accesso richiesto.

Accesso programmatico: l'utente IAM potrebbe dover effettuare chiamate API, utilizzare l'interfaccia a riga di comando AWS o gli strumenti per Windows PowerShell. In questo caso, crea una chiave di accesso (ID chiave di accesso e una chiave di accesso segreta) per l'utente.

Accesso alla Console di gestione AWS: se l'utente deve accedere alla Console di gestione AWS, crea una password per l'utente.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS AWS Foundation 3.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

Non impostare le chiavi di accesso durante la configurazione utente iniziale per tutti gli utenti IAM che dispongono di una password della console

  • Scansioni in tempo reale: No

Nome della categoria nell'API: DYNAMODB_AUTOSCALING_ENABLED

Descrizione del risultato:

Verifica se una tabella Amazon DynamoDB può scalare la propria capacità di lettura e scrittura in base alle necessità. Questo controllo viene superato se la tabella utilizza la modalità di capacità on demand o la modalità di provisioning con scalabilità automatica configurata. La scalabilità della capacità in base alla domanda evita eccezioni di limitazione, il che contribuisce a mantenere la disponibilità delle applicazioni.

Le tabelle DynamoDB in modalità di capacità on demand sono limitate solo dalle quote predefinite della tabella di throughput di DynamoDB. Per aumentare queste quote, puoi presentare un ticket di assistenza tramite AWS Support.

Le tabelle DynamoDB in modalità di provisioning con scalabilità automatica regolano dinamicamente la capacità di throughput di cui è stato eseguito il provisioning in risposta ai pattern di traffico. Per ulteriori informazioni sulla limitazione delle richieste DynamoDB, consulta Limitazione delle richieste e capacità burst nella Guida per gli sviluppatori di Amazon DynamoDB.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Le tabelle DynamoDB devono scalare automaticamente la capacità in base alla domanda

  • Scansioni in tempo reale: No

Nome della categoria nell'API: DYNAMODB_IN_BACKUP_PLAN

Descrizione del risultato:

Questo controllo valuta se una tabella DynamoDB è coperta da un piano di backup. Il controllo non viene superato se una tabella DynamoDB non è coperta da un piano di backup. Questo controllo valuta solo le tabelle DynamoDB con stato ACTIVE.

I backup ti aiutano a ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei tuoi sistemi. L'inclusione delle tabelle DynamoDB in un piano di backup ti aiuta a proteggere i dati da perdite o eliminazioni involontarie.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Le tabelle DynamoDB devono essere coperte da un piano di backup

  • Scansioni in tempo reale: No

Nome della categoria nell'API: DYNAMODB_PITR_ENABLED

Descrizione del risultato:

Il recupero point-in-time (PITR) è uno dei meccanismi disponibili per il backup delle tabelle DynamoDB.

Un backup point-in-time viene conservato per 35 giorni. Se hai bisogno di un periodo di conservazione più lungo, consulta Configurare i backup pianificati per Amazon DynamoDB utilizzando AWS Backup nella documentazione di AWS.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Controlla che il recupero point-in-time (PITR) sia abilitato per tutte le tabelle AWS DynamoDB

  • Scansioni in tempo reale: No

Nome della categoria nell'API: DYNAMODB_TABLE_ENCRYPTED_KMS

Descrizione del risultato:

Controlla se tutte le tabelle DynamoDB sono criptate con una chiave KMS gestita dal cliente (non predefinita).

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(6)

Controlla che tutte le tabelle DynamoDB siano criptate con AWS Key Management Service (KMS)

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EBS_OPTIMIZED_INSTANCE

Descrizione del risultato:

Controlla se l'ottimizzazione EBS è abilitata per le istanze EC2 che possono essere ottimizzate per EBS

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-5(2)

Controlla che l'ottimizzazione EBS sia abilitata per tutte le istanze che la supportano

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

Descrizione del risultato:

Controlla se gli snapshot Amazon Elastic Block Store non sono pubblici. Il controllo non riesce se gli snapshot Amazon EBS sono ripristinabili da chiunque.

Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati sui volumi EBS in Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere uno snapshot con il pubblico. In genere, la decisione di condividere pubblicamente uno snapshot è stata presa per errore o senza una comprensione completa delle implicazioni. Questo controllo contribuisce a garantire che tutta la condivisione sia stata pianificata e intenzionale.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Gli snapshot Amazon EBS non devono essere ripristinabili pubblicamente

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

Descrizione del risultato:

Elastic Compute Cloud (EC2) supporta crittografia at-rest quando utilizzi il servizio Elastic Block Store (EBS). Sebbene sia disabilitata per impostazione predefinita, è supportata l'applicazione forzata della crittografia durante la creazione del volume EBS.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS AWS Foundation 3.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

Assicurati che la crittografia del volume EBS sia abilitata in tutte le regioni

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EC2_INSTANCES_IN_VPC

Descrizione del risultato:

Amazon VPC offre più funzionalità di sicurezza rispetto a EC2 Classic. Ti consigliamo di fare in modo che tutti i nodi appartengano a un Amazon VPC.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7

Verifica che tutte le istanze appartengano a un VPC

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EC2_INSTANCE_NO_PUBLIC_IP

Descrizione del risultato:

Le istanze EC2 con un indirizzo IP pubblico sono a maggior rischio di compromissione. È consigliabile che le istanze EC2 non siano configurate con un indirizzo IP pubblico.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Verifica che nessuna istanza abbia un IP pubblico

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

Descrizione del risultato:

Un'associazione State Manager è una configurazione assegnata alle tue istanze gestite. La configurazione definisce lo stato che vuoi mantenere nelle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato ed eseguito sulle tue istanze o che determinate porte devono essere chiuse. Le istanze EC2 associate ad AWS Systems Manager sono gestite da Systems Manager, il che semplifica l'applicazione di patch, la correzione di errori di configurazione e la risposta agli eventi di sicurezza.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • PCI-DSS v3.2.1: 6.2

Controlla lo stato di conformità dell'associazione dei gestori di sistema AWS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

Descrizione del risultato:

Questo controllo verifica se lo stato di conformità dell'associazione AWS Systems Manager è COMPLIANT o NON_COMPLIANT dopo l'esecuzione dell'associazione su un'istanza. Il controllo non riesce se lo stato di conformità dell'associazione è NON_COMPLIANT.

Un'associazione State Manager è una configurazione assegnata alle tue istanze gestite. La configurazione definisce lo stato che vuoi mantenere nelle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato ed eseguito sulle tue istanze o che determinate porte devono essere chiuse.

Dopo aver creato una o più associazioni State Manager, le informazioni sullo stato di conformità sono immediatamente disponibili. Puoi visualizzare lo stato di conformità nella console o in risposta ai comandi AWS CLI o alle azioni API Systems Manager corrispondenti. Per le associazioni, Conformità della configurazione mostra lo stato di conformità (Conforme o Non conforme). Mostra anche il livello di gravità assegnato all'associazione, ad esempio Critica o Media.

Per saperne di più sulla conformità dell'associazione State Manager, consulta la sezione Informazioni sulla conformità dell'associazione State Manager nella Guida per l'utente di AWS Systems Manager.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

Controlla lo stato di conformità delle patch di AWS Systems Manager

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

Descrizione del risultato:

Quando attivano il servizio di metadati sulle istanze AWS EC2, gli utenti hanno la possibilità di utilizzare la versione 1 del servizio di metadati dell'istanza (IMDSv1, un metodo di richiesta/risposta) o la versione 2 del servizio di metadati dell'istanza (IMDSv2, un metodo orientato alla sessione).

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6
  • CIS AWS Foundation 3.0.0: 5.6

Verifica che il servizio di metadati EC2 consenta solo IMDSv2

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EC2_VOLUME_INUSE_CHECK

Descrizione del risultato:

Identificare e rimuovere i volumi Elastic Block Store (EBS) non collegati (inutilizzati) nel tuo account AWS per ridurre il costo della fattura AWS mensile. L'eliminazione dei volumi EBS inutilizzati riduce anche il rischio che i dati riservati/sensibili escano dalla tua sede. Inoltre, questo controllo verifica anche se le istanze EC2 archiviate sono configurate per eliminare i volumi al termine.

Per impostazione predefinita, le istanze EC2 sono configurate per eliminare i dati in tutti i volumi EBS associati all'istanza e per eliminare il volume EBS root dell'istanza. Tuttavia, tutti i volumi EBS non root collegati all'istanza, all'avvio o durante l'esecuzione, vengono mantenuti dopo la terminazione per impostazione predefinita.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: CM-2

Controlla se i volumi EBS sono collegati alle istanze EC2 e configurati per l'eliminazione al termine dell'istanza

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EFS_ENCRYPTED_CHECK

Descrizione del risultato:

Amazon EFS supporta due forme di crittografia per i file system: la crittografia dei dati in transito e la crittografia at-rest. Questo controllo verifica che tutti i file system EFS siano configurati con la crittografia at-rest in tutte le regioni abilitate dell'account.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Controlla se EFS è configurato per criptare i dati dei file utilizzando KMS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: EFS_IN_BACKUP_PLAN

Descrizione del risultato:

Le best practice di Amazon consigliano di configurare i backup per i tuoi Elastic File System (EFS). Vengono controllati tutti i file system EFS in ogni regione abilitata del tuo account AWS per verificare se i backup sono abilitati.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Controlla se i file system EFS sono inclusi nei piani di backup AWS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ELB_ACM_CERTIFICATE_REQUIRED

Descrizione del risultato:

Controlla se il bilanciatore del carico classico utilizza certificati HTTPS/SSL forniti da AWS Certificate Manager (ACM). Il controllo non riesce se il bilanciatore del carico classico configurato con il listener HTTPS/SSL non utilizza un certificato fornito da ACM.

Per creare un certificato, puoi utilizzare ACM o uno strumento che supporta i protocolli SSL e TLS, come OpenSSL. Security Hub consiglia di utilizzare ACM per creare o importare certificati per il bilanciatore del carico.

ACM si integra con i bilanciatori del carico classici per consentirti di eseguire il deployment del certificato sul bilanciatore del carico. Inoltre, devi rinnovare automaticamente questi certificati.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

Controlla che tutti i bilanciatori del carico classici utilizzino i certificati SSL forniti da AWS Certificate Manager

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ELB_DELETION_PROTECTION_ENABLED

Descrizione del risultato:

Controlla se per un bilanciatore del carico delle applicazioni è abilitata la protezione dall'eliminazione. Il controllo non viene superato se la protezione da eliminazione non è configurata.

Abilita la protezione dall'eliminazione per proteggere il bilanciatore del carico delle applicazioni dall'eliminazione.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-5(2)

La protezione dall'eliminazione del bilanciatore del carico delle applicazioni deve essere abilitata

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ELB_LOGGING_ENABLED

Descrizione del risultato:

Controlla se la registrazione è abilitata per il bilanciatore del carico delle applicazioni e il bilanciatore del carico classico. Il controllo non va a buon fine se access_logs.s3.enabled è false.

Elastic Load Balancing fornisce log di accesso che acquisiscono informazioni dettagliate sulle richieste inviate al bilanciatore del carico. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. Puoi utilizzare questi log di accesso per analizzare i pattern di traffico e risolvere i problemi.

Per saperne di più, consulta Log di accesso per il bilanciatore del carico classico nella Guida per l'utente per i bilanciatori del carico classici.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Controlla se i bilanciatori del carico classici e delle applicazioni hanno la registrazione abilitata

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ELB_TLS_HTTPS_LISTENERS_ONLY

Descrizione del risultato:

Questo controllo garantisce che tutti i bilanciatori del carico classici siano configurati per utilizzare la comunicazione sicura.

Un listener è un processo che verifica la presenza di richieste di connessione. È configurato con un protocollo e una porta per le connessioni di frontend (client al bilanciatore del carico) e un protocollo e una porta per le connessioni di backend (bilanciatore del carico all'istanza). Per informazioni sulle porte, sui protocolli e sulle configurazioni dei listener supportati da Elastic Load Balancing, consulta Listener per il bilanciatore del carico classico.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(6)

Controlla che tutti i bilanciatori del carico classici siano configurati con listener SSL o HTTPS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ENCRYPTED_VOLUMES

Descrizione del risultato:

Controlla se i volumi EBS in stato collegato sono criptati. Per superare questo controllo, i volumi EBS devono essere in uso e criptati. Se il volume EBS non è collegato, non è soggetto a questo controllo.

Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, devi abilitare la crittografia EBS at-rest. La crittografia Amazon EBS offre una soluzione di crittografia semplice per le tue risorse EBS che non richiede la creazione, la manutenzione e la protezione della tua infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS durante la creazione di volumi e snapshot criptati.

Per saperne di più sulla crittografia Amazon EBS, consulta la sezione Crittografia Amazon EBS nella Guida per l'utente di Amazon EC2 per le istanze Linux.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

I volumi Amazon EBS collegati devono essere criptati at-rest

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

Descrizione del risultato:

Le istanze di database Amazon RDS criptate utilizzano l'algoritmo di crittografia AES-256 standard di settore per criptare i dati sul server che ospita le istanze di database Amazon RDS. Una volta criptati i dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decriptazione dei dati in modo trasparente con un impatto minimo sulle prestazioni.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS AWS Foundation 3.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

Verifica che la crittografia at-rest sia abilitata per le istanze RDS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

Descrizione del risultato:

I dati EFS devono essere criptati at-rest utilizzando AWS KMS (Key Management Service).

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS AWS Foundation 3.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

Assicurati che la crittografia sia abilitata per i file system EFS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: IAM_PASSWORD_POLICY

Descrizione del risultato:

AWS consente criteri per le password personalizzati sul tuo account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password degli utenti IAM. Se non imposti un criterio della password personalizzato, le password degli utenti IAM devono soddisfare il criterio della password AWS predefinito. Le best practice per la sicurezza di AWS consigliano i seguenti requisiti di complessità della password:

  • Richiedi almeno un carattere maiuscolo nella password.
  • Richiedi almeno un carattere minuscolo nelle password.
  • Richiedi almeno un simbolo nelle password.
  • Richiedi almeno un numero nelle password.
  • Richiedi una lunghezza minima della password di almeno 14 caratteri.
  • Richiedi almeno 24 password prima di consentire il riutilizzo.
  • Richiedi almeno 90 giorni prima della scadenza della password

Questo controllo verifica tutti i requisiti specificati delle norme relative alle password.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

Controlla se la policy della password dell'account per gli utenti IAM soddisfa i requisiti specificati

  • Scansioni in tempo reale: No

Nome della categoria nell'API: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

Descrizione del risultato:

I criteri della password IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente. Ti consigliamo di impostare il criterio della password in modo che impedisca il riutilizzo delle password.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS AWS Foundation 3.0.0: 1.9
  • CIS Controls 8.0: 5.2

Assicurati che la policy della password IAM impedisca il riutilizzo della password

  • Scansioni in tempo reale: No

Nome della categoria nell'API: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

Descrizione del risultato:

I criteri relativi alle password vengono utilizzati, in parte, per applicare i requisiti di complessità delle password. I criteri della password IAM possono essere utilizzati per garantire che le password abbiano almeno una determinata lunghezza. È consigliabile che il criterio della password richieda una lunghezza minima di 14 caratteri.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS AWS Foundation 3.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

Assicurati che la policy della password IAM richieda una lunghezza minima di 14 caratteri

  • Scansioni in tempo reale: No

Nome della categoria nell'API: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

Descrizione del risultato:

I criteri IAM sono il mezzo con cui vengono concessi privilegi a utenti, gruppi o ruoli. È consigliabile e considerato un consiglio di sicurezza standard concedere il privilegio minimo, ovvero concedere solo le autorizzazioni necessarie per eseguire un'attività. Determina le attività che gli utenti devono svolgere e poi crea policy che consentano loro di eseguire solo queste attività, anziché concedere privilegi amministrativi completi.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS AWS Foundation 3.0.0: 1.16
  • CIS Controls 8.0: 3.3

Assicurati che non siano collegati criteri IAM che consentono privilegi amministrativi completi "*:*"

  • Scansioni in tempo reale: No

Nome della categoria nell'API: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

Descrizione del risultato:

Gli utenti IAM ottengono l'accesso a servizi, funzioni e dati tramite i criteri IAM. Esistono quattro modi per definire le policy per un utente: 1) modificare direttamente la policy utente, ovvero una policy inline o utente; 2) collegare una policy direttamente a un utente; 3) aggiungere l'utente a un gruppo IAM a cui è collegata una policy; 4) aggiungere l'utente a un gruppo IAM con una policy inline.

È consigliata solo la terza implementazione.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS AWS Foundation 3.0.0: 1.15
  • CIS Controls 8.0: 6.8

Assicurati che gli utenti IAM ricevano le autorizzazioni solo tramite i gruppi

  • Scansioni in tempo reale: No

Nome della categoria nell'API: IAM_USER_GROUP_MEMBERSHIP_CHECK

Descrizione del risultato:

Per rispettare le best practice di sicurezza IAM, gli utenti IAM devono sempre far parte di un gruppo IAM.

Aggiungendo utenti a un gruppo, è possibile condividere i criteri tra i tipi di utenti.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-6

Controlla se gli utenti IAM sono membri di almeno un gruppo IAM

  • Scansioni in tempo reale: No

Nome della categoria nell'API: IAM_USER_MFA_ENABLED

Descrizione del risultato:

L'autenticazione a più fattori (MFA) è una best practice che aggiunge un ulteriore livello di protezione oltre a nomi utente e password. Con l'autenticazione MFA, quando un utente accede alla Console di gestione AWS, deve fornire un codice di autenticazione sensibile al tempo, fornito da un dispositivo virtuale o fisico registrato.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • PCI-DSS v3.2.1: 8.3.2

Controlla se per gli utenti IAM AWS è abilitata l'autenticazione a più fattori (MFA)

  • Scansioni in tempo reale: No

Nome della categoria nell'API: IAM_USER_UNUSED_CREDENTIALS_CHECK

Descrizione del risultato:

Controlla eventuali password IAM o chiavi di accesso attive che non sono state utilizzate negli ultimi 90 giorni.

Le best practice consigliano di rimuovere, disattivare o ruotare tutte le credenziali non utilizzate per 90 giorni o più. In questo modo si riduce la finestra di opportunità per l'utilizzo delle credenziali associate a un account compromesso o abbandonato.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

Controlla che tutti gli utenti IAM AWS dispongano di password o chiavi di accesso attive che non sono state utilizzate in maxCredentialUsageAge giorni (il valore predefinito è 90)

  • Scansioni in tempo reale: No

Nome della categoria nell'API: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

Descrizione del risultato:

Questo controllo verifica se è pianificata l'eliminazione delle chiavi KMS. Il controllo non va a buon fine se è pianificata l'eliminazione di una chiave KMS.

Le chiavi KMS non possono essere recuperate una volta eliminate. Anche i dati criptati con una chiave KMS non sono più recuperabili in modo permanente se la chiave KMS viene eliminata. Se sono stati criptati dati significativi con una chiave KMS la cui eliminazione è pianificata, valuta la possibilità di decriptare i dati o di criptarli nuovamente con una nuova chiave KMS, a meno che tu non stia eseguendo intenzionalmente un'eliminazione crittografica.

Quando una chiave KMS viene pianificata per l'eliminazione, viene applicato un periodo di attesa obbligatorio per consentire l'annullamento dell'eliminazione, se è stata pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto fino a 7 giorni quando l'eliminazione della chiave KMS è pianificata. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave KMS non verrà eliminata.

Per ulteriori informazioni sull'eliminazione delle chiavi KMS, consulta la sezione Eliminazione delle chiavi KMS nella Guida per gli sviluppatori di AWS Key Management Service.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-12

Controlla che non sia pianificata l'eliminazione di tutte le CMK

  • Scansioni in tempo reale: No

Nome della categoria nell'API: LAMBDA_CONCURRENCY_CHECK

Descrizione del risultato:

Controlla se la funzione Lambda è configurata con un limite di esecuzione simultanea a livello di funzione. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con un limite di esecuzione simultanea a livello di funzione.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla se le funzioni Lambda sono configurate con un limite di esecuzione simultanea a livello di funzione

  • Scansioni in tempo reale: No

Nome della categoria nell'API: LAMBDA_DLQ_CHECK

Descrizione del risultato:

Controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. La regola è NON_COMPLIANT se la funzione Lambda non è configurata con una coda di messaggi non recapitabili.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-2

Controlla se le funzioni Lambda sono configurate con una coda di messaggi non recapitabili

  • Scansioni in tempo reale: No

Nome della categoria nell'API: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

Descrizione del risultato:

Le best practice di AWS consigliano di non esporre pubblicamente la funzione Lambda. Questo criterio controlla tutte le funzioni Lambda implementate in tutte le regioni abilitate all'interno del tuo account e non verrà soddisfatto se sono configurate per consentire l'accesso pubblico.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Controlla se la policy collegata alla funzione Lambda vieta l'accesso pubblico

  • Scansioni in tempo reale: No

Nome della categoria nell'API: LAMBDA_INSIDE_VPC

Descrizione del risultato:

Controlla se una funzione Lambda si trova in un VPC. Potresti visualizzare risultati non riusciti per le risorse Lambda@Edge.

Non valuta la configurazione di routing della subnet VPC per determinare la raggiungibilità pubblica.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Controlla se esistono funzioni Lambda all'interno di un VPC

  • Scansioni in tempo reale: No

Nome della categoria nell'API: MFA_DELETE_ENABLED_S3_BUCKETS

Descrizione del risultato:

Una volta abilitata l'eliminazione con autenticazione MFA sul bucket S3 sensibile e classificato, l'utente deve disporre di due forme di autenticazione.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS AWS Foundation 3.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

Assicurati che l'eliminazione con autenticazione MFA sia abilitata sui bucket S3

  • Scansioni in tempo reale: No

Nome della categoria nell'API: MFA_ENABLED_ROOT_USER_ACCOUNT

Descrizione del risultato:

L'account utente "root" è l'utente con i privilegi più elevati in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione oltre al nome utente e alla password. Con l'MFA abilitata, quando un utente accede a un sito web AWS, gli verrà chiesto il nome utente e la password, nonché un codice di autenticazione dal suo dispositivo AWS MFA.

Nota:quando l'autenticazione MFA virtuale viene utilizzata per gli account "root", è consigliabile che il dispositivo utilizzato NON sia un dispositivo personale, ma un dispositivo mobile dedicato (tablet o smartphone) gestito in modo da essere mantenuto carico e protetto indipendentemente da qualsiasi dispositivo personale individuale. ("MFA virtuale non personale") In questo modo si riducono i rischi di perdere l'accesso all'MFA a causa della perdita del dispositivo, della permuta del dispositivo o se la persona proprietaria del dispositivo non lavora più presso l'azienda.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS AWS Foundation 3.0.0: 1.5
  • CIS Controls 8.0: 6.5

Assicurati che l'autenticazione MFA sia abilitata per l'account utente "root"

  • Scansioni in tempo reale: No

Nome della categoria nell'API: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

Descrizione del risultato:

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di garanzia di autenticazione oltre alle credenziali tradizionali. Con la MFA abilitata, quando un utente accede alla console AWS, gli verrà chiesto il nome utente e la password, nonché un codice di autenticazione dal token MFA fisico o virtuale. Ti consigliamo di abilitare l'MFA per tutti gli account con una password per la console.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

Verifica che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM con una password per la console

  • Scansioni in tempo reale: No

Nome della categoria nell'API: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Descrizione del risultato:

La funzione Elenco di controllo dell'accesso alla rete (NACL) fornisce il filtro stateless del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun ACL di rete consenta l'accesso in entrata senza restrizioni alle porte di amministrazione del server remoto, ad esempio SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1).

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • CIS AWS Foundation 2.0.0: 5.1
  • CIS AWS Foundation 3.0.0: 5.1

Assicurati che nessun ACL di rete consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto

  • Scansioni in tempo reale: No

Nome della categoria nell'API: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

Descrizione del risultato:

L'account utente "root" è l'utente con i privilegi più elevati in un account AWS. Le chiavi di accesso AWS forniscono l'accesso programmatico a un determinato account AWS. Ti consigliamo di eliminare tutte le chiavi di accesso associate all'account utente "root".

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS AWS Foundation 3.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

Assicurati che non esistano chiavi di accesso all'account utente "root"

  • Scansioni in tempo reale: No

Nome della categoria nell'API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

Descrizione del risultato:

I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso in entrata senza restrizioni alle porte di amministrazione del server remoto, ad esempio SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1).

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • CIS AWS Foundation 2.0.0: 5.2
  • CIS AWS Foundation 3.0.0: 5.2

Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da 0.0.0.0/0 alle porte di amministrazione del server remoto

  • Scansioni in tempo reale: No

Nome della categoria nell'API: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

Descrizione del risultato:

I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Ti consigliamo di non consentire a nessun gruppo di sicurezza l'accesso in entrata senza restrizioni alle porte di amministrazione del server remoto, ad esempio SSH alla porta 22 e RDP alla porta 3389.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • CIS AWS Foundation 2.0.0: 5.3
  • CIS AWS Foundation 3.0.0: 5.3

Assicurati che nessun gruppo di sicurezza consenta il traffico in entrata da ::/0 alle porte di amministrazione del server remoto

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

Descrizione del risultato:

Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o per l'utente "root" dell'account AWS. Puoi utilizzare le chiavi di accesso per firmare richieste programmatiche all'interfaccia a riga di comando AWS o all'API AWS (direttamente o utilizzando l'SDK AWS)

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS AWS Foundation 3.0.0: 1.13
  • CIS Controls 8.0: 5

Assicurati che sia disponibile una sola chiave di accesso attiva per ogni singolo utente IAM

  • Scansioni in tempo reale: No

Nome della categoria nell'API: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

Descrizione del risultato:

Assicurati e verifica che le istanze di database RDS di cui è stato eseguito il provisioning nel tuo account AWS limitino l'accesso non autorizzato per ridurre al minimo i rischi per la sicurezza. Per limitare l'accesso a qualsiasi istanza di database RDS accessibile pubblicamente, devi disabilitare il flag Accessibile pubblicamente del database e aggiornare il gruppo di sicurezza VPC associato all'istanza.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS AWS Foundation 3.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

Verifica che l'accesso pubblico non sia concesso all'istanza RDS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: RDS_ENHANCED_MONITORING_ENABLED

Descrizione del risultato:

Il monitoraggio avanzato fornisce metriche in tempo reale sul sistema operativo su cui viene eseguita l'istanza RDS tramite un agente installato nell'istanza.

Per maggiori dettagli, vedi Monitoraggio delle metriche del sistema operativo con il monitoraggio avanzato.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-2

Controlla se il monitoraggio avanzato è abilitato per tutte le istanze DB RDS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

Descrizione del risultato:

L'attivazione della protezione da eliminazione dell'istanza è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.

Se la protezione da eliminazione è abilitata, un'istanza del database RDS non può essere eliminata. Prima che una richiesta di eliminazione possa essere completata, la protezione da eliminazione deve essere disattivata.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Controlla se per tutte le istanze RDS è abilitata la protezione da eliminazione

  • Scansioni in tempo reale: No

Nome della categoria nell'API: RDS_IN_BACKUP_PLAN

Descrizione del risultato:

Questo controllo valuta se le istanze DB Amazon RDS sono coperte da un piano di backup. Questo controllo non viene superato se un'istanza DB di RDS non è coperta da un piano di backup.

AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati nei servizi AWS. Con AWS Backup, puoi creare policy di backup chiamate piani di backup. Puoi utilizzare questi piani per definire i requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e per quanto tempo conservare i backup. L'inclusione delle istanze DB di RDS in un piano di backup ti aiuta a proteggere i tuoi dati da perdite o eliminazioni involontarie.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Le istanze DB di RDS devono essere coperte da un piano di backup

  • Scansioni in tempo reale: No

Nome della categoria nell'API: RDS_LOGGING_ENABLED

Descrizione del risultato:

Controlla se i seguenti log di Amazon RDS sono abilitati e inviati a CloudWatch.

I database RDS devono avere i log pertinenti abilitati. Il logging del database fornisce registri dettagliati delle richieste effettuate a RDS. I log del database possono essere utili per i controlli di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(8)

Controlla se i log esportati sono abilitati per tutte le istanze DB RDS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: RDS_MULTI_AZ_SUPPORT

Descrizione del risultato:

Le istanze DB di RDS devono essere configurate per più zone di disponibilità (AZ). Ciò garantisce la disponibilità dei dati memorizzati. I deployment multizona consentono il failover automatico in caso di problemi con la disponibilità della zona di disponibilità e durante la manutenzione regolare di RDS.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Controlla se l'alta disponibilità è abilitata per tutte le istanze DB RDS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

Descrizione del risultato:

Controlla gli elementi essenziali di un cluster Redshift: crittografia at-rest, logging e tipo di nodo.

Questi elementi di configurazione sono importanti per la manutenzione di un cluster Redshift sicuro e osservabile.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Controlla che tutti i cluster Redshift dispongano di crittografia at-rest, logging e tipo di nodo.

  • Scansioni in tempo reale: No

Nome della categoria nell'API: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

Descrizione del risultato:

Gli upgrade automatici delle versioni principali vengono eseguiti in base al periodo di manutenzione

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-2

Controlla che tutti i cluster Redshift abbiano allowVersionUpgrade abilitato e preferredMaintenanceWindow e automatedSnapshotRetentionPeriod impostati

  • Scansioni in tempo reale: No

Nome della categoria nell'API: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

Descrizione del risultato:

L'attributo PubliclyAccessible della configurazione del cluster Amazon Redshift indica se il cluster è accessibile pubblicamente. Quando il cluster è configurato con PubliclyAccessible impostato su true, si tratta di un'istanza esposta a internet con un nome DNS risolvibile pubblicamente, che viene risolto in un indirizzo IP pubblico.

Quando il cluster non è accessibile pubblicamente, si tratta di un'istanza interna con un nome DNS che viene risolto in un indirizzo IP privato. A meno che tu non voglia che il cluster sia accessibile pubblicamente, non devi configurarlo con PubliclyAccessible impostato su true.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Controlla se i cluster Redshift sono accessibili pubblicamente

  • Scansioni in tempo reale: No

Nome della categoria nell'API: RESTRICTED_COMMON_PORTS

Descrizione del risultato:

Controlla se il traffico in entrata senza restrizioni per i gruppi di sicurezza è accessibile alle porte specificate che presentano il rischio più elevato. Questo controllo non viene superato se una delle regole di un gruppo di sicurezza consente il traffico in entrata da "0.0.0.0/0" o "::/0" per queste porte.

L'accesso illimitato (0.0.0.0/0) aumenta le opportunità di attività dannose, come hacking, attacchi denial of service e perdita di dati.

I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS. Nessun gruppo di sicurezza deve consentire l'accesso in entrata illimitato alle seguenti porte:

  • 20, 21 (FTP)
  • 22 (SSH)
  • 23 (Telnet)
  • 25 (SMTP)
  • 110 (POP3)
  • 135 (RPC)
  • 143 (IMAP)
  • 445 (CIFS)
  • 1433, 1434 (MSSQL)
  • 3000 (framework di sviluppo web Go, Node.js e Ruby)
  • 3306 (MySQL)
  • 3389 (RDP)
  • 4333 (ahsp)
  • 5000 (framework di sviluppo web Python)
  • 5432 (postgresql)
  • 5500 (fcp-addr-srvr1)
  • 5601 (OpenSearch Dashboards)
  • 8080 (proxy)
  • 8088 (porta HTTP legacy)
  • 8888 (porta HTTP alternativa)
  • 9200 o 9300 (OpenSearch)

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio

  • Scansioni in tempo reale: No

Nome della categoria nell'API: RESTRICTED_SSH

Descrizione del risultato:

I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso le risorse AWS.

Il CIS consiglia di non consentire a nessun gruppo di sicurezza l'accesso in entrata illimitato alla porta 22. La rimozione della connettività illimitata ai servizi di console remota, come SSH, riduce l'esposizione al rischio di un server.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 alla porta 22

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

Descrizione del risultato:

Controlla se la rotazione automatica delle chiavi è abilitata per ogni chiave e corrisponde all'ID chiave della chiave KMS AWS creata dal cliente. La regola è NON_COMPLIANT se il ruolo di registrazione AWS Config per una risorsa non dispone dell'autorizzazione kms:DescribeKey.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Assicurati che sia abilitata la rotazione per le chiavi CMK create dal cliente

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

Descrizione del risultato:

AWS Key Management Service (KMS) consente ai clienti di ruotare la chiave di backup, ovvero il materiale della chiave archiviato in KMS e associato all'ID chiave della chiave master del cliente (CMK) creata dal cliente. È la chiave di supporto utilizzata per eseguire operazioni crittografiche come la crittografia e la decriptazione. La rotazione automatica delle chiavi attualmente conserva tutte le chiavi di backup precedenti in modo che la decrittografia dei dati criptati possa avvenire in modo trasparente. Ti consigliamo di abilitare rotazione della chiave CMK per le chiavi simmetriche. La rotazione delle chiavi non può essere abilitata per nessuna chiave CMK asimmetrica.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS AWS Foundation 3.0.0: 3.6
  • CIS Controls 8.0: 3.11

Assicurati che sia abilitata la rotazione per le chiavi CMK simmetriche create dal cliente

  • Scansioni in tempo reale: No

Nome della categoria nell'API: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

Descrizione del risultato:

Verifica se le tabelle di routing per il peering VPC sono configurate con il principio del privilegio minimo.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Assicurati che le tabelle di routing per il peering VPC siano ad "accesso minimo"

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

Descrizione del risultato:

Il blocco dell'accesso pubblico di Amazon S3 fornisce impostazioni per punti di accesso, bucket e account per aiutarti a gestire l'accesso pubblico alle risorse Amazon S3. Per impostazione predefinita, i nuovi bucket, punti di accesso e oggetti non consentono l'accesso pubblico.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

Questa categoria di risultati non è mappata ad alcun controllo degli standard di conformità.

Controlla se le impostazioni richieste di blocco dell'accesso pubblico S3 sono configurate a livello di account

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

Descrizione del risultato:

Amazon S3 fornisce Block public access (bucket settings) e Block public access (account settings) per aiutarti a gestire l'accesso pubblico alle risorse Amazon S3. Per impostazione predefinita, i bucket e gli oggetti S3 vengono creati con l'accesso pubblico disattivato. Tuttavia, un'entità AWS IAM con autorizzazioni S3 sufficienti può attivare l'accesso pubblico a livello di bucket o di oggetto. Se abilitata, Block public access (bucket settings) impedisce che un singolo bucket e i relativi oggetti contenuti diventino accessibili pubblicamente. Analogamente, Block public access (account settings) impedisce che tutti i bucket e gli oggetti contenuti diventino accessibili pubblicamente in tutto l'account.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

Assicurati che i bucket S3 siano configurati con Block public access (bucket settings).

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

Descrizione del risultato:

Il logging dell'accesso al bucket S3 genera un log che contiene i record di accesso per ogni richiesta effettuata al bucket S3. Un record del log degli accessi contiene dettagli sulla richiesta, come il tipo di richiesta, le risorse specificate nella richiesta, l'ora e la data di elaborazione della richiesta. Ti consigliamo di abilitare il logging degli accessi al bucket S3 CloudTrail.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS AWS Foundation 3.0.0: 3.4
  • CIS Controls 8.0: 3.14, 8.2

Assicurati che il logging degli accessi ai bucket S3 sia abilitato sul bucket S3 CloudTrail

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_BUCKET_LOGGING_ENABLED

Descrizione del risultato:

La funzionalità di logging degli accessi di AWS S3 Server registra le richieste di accesso ai bucket di archiviazione, il che è utile per gli audit di sicurezza. Per impostazione predefinita, il logging degli accessi al server non è abilitato per i bucket S3.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

Controlla se il logging è abilitato su tutti i bucket S3

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

Descrizione del risultato:

A livello di bucket Amazon S3, puoi configurare le autorizzazioni tramite un criterio bucket, rendendo gli oggetti accessibili solo tramite HTTPS.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS AWS Foundation 3.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

Assicurati che il criterio bucket S3 sia impostato in modo da rifiutare le richieste HTTP

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_BUCKET_REPLICATION_ENABLED

Descrizione del risultato:

Questo controllo verifica se la replica tra regioni è abilitata per un bucket Amazon S3. Il controllo non riesce se la replica tra regioni non è abilitata per il bucket o se è abilitata anche la replica nella stessa regione.

La replica è la copia automatica e asincrona degli oggetti tra bucket nella stessa regione AWS o in regioni AWS diverse. La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a uno o più bucket di destinazione. Le best practice di AWS consigliano la replica per i bucket di origine e di destinazione di proprietà dello stesso account AWS. Oltre alla disponibilità, devi prendere in considerazione altre impostazioni di protezione del sistema.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Controlla se la replica tra regioni di bucket S3 è abilitata

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

Descrizione del risultato:

Controlla che il bucket S3 abbia la crittografia predefinita di Amazon S3 abilitata o che la policy del bucket S3 neghi esplicitamente le richieste put-object senza crittografia lato server.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

Assicurati che tutti i bucket S3 utilizzino la crittografia at-rest

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_BUCKET_VERSIONING_ENABLED

Descrizione del risultato:

Amazon S3 è un modo per conservare più varianti di un oggetto nello stesso bucket e può aiutarti a eseguire il ripristino più facilmente sia da azioni utente non intenzionali sia da errori dell'applicazione.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

Controlla che il controllo delle versioni sia abilitato per tutti i bucket S3

  • Scansioni in tempo reale: No

Nome della categoria nell'API: S3_DEFAULT_ENCRYPTION_KMS

Descrizione del risultato:

Controlla se i bucket Amazon S3 sono criptati con AWS Key Management Service (AWS KMS)

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(6)

Controlla che tutti i bucket siano criptati con KMS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

Descrizione del risultato:

Controlla se è configurata una chiave AWS Key Management Service (AWS KMS) per un'istanza di notebook Amazon SageMaker. La regola è NON_COMPLIANT se "KmsKeyId" non è specificato per l'istanza del notebook SageMaker.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

Controlla che tutte le istanze di notebook SageMaker siano configurate per utilizzare KMS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

Descrizione del risultato:

Controlla se l'accesso diretto a internet è disabilitato per un'istanza di notebook SageMaker. A questo scopo, controlla se il campo DirectInternetAccess è disabilitato per l'istanza del notebook.

Se configuri l'istanza SageMaker senza un VPC, per impostazione predefinita l'accesso diretto a internet è abilitato sull'istanza. Devi configurare l'istanza con un VPC e modificare l'impostazione predefinita su Disattiva: accedi a internet tramite un VPC.

Per addestrare o ospitare modelli da un blocco note, è necessario l'accesso a internet. Per abilitare l'accesso a internet, assicurati che il VPC abbia un gateway NAT e che il gruppo di sicurezza consenta le connessioni in uscita. Per scoprire di più su come connettere un'istanza notebook alle risorse in un VPC, consulta Connettere un'istanza notebook alle risorse in un VPC nella Guida per gli sviluppatori di Amazon SageMaker.

Devi anche assicurarti che l'accesso alla configurazione di SageMaker sia limitato solo agli utenti autorizzati. Limita le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse di SageMaker.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Controlla se l'accesso diretto a internet è disabilitato per tutte le istanze di notebook Amazon SageMaker

  • Scansioni in tempo reale: No

Nome della categoria nell'API: SECRETSMANAGER_ROTATION_ENABLED_CHECK

Descrizione del risultato:

Controlla se un secret archiviato in AWS Secrets Manager è configurato con la rotazione automatica. Il controllo non riesce se il secret non è configurato con la rotazione automatica. Se fornisci un valore personalizzato per il parametro maximumAllowedRotationFrequency, il controllo viene superato solo se il secret viene ruotato automaticamente entro il periodo di tempo specificato.

Secrets Manager ti aiuta a migliorare la security posture della tua organizzazione. I secret includono credenziali del database, password e chiavi API di terze parti. Puoi utilizzare Secrets Manager per archiviare i secret in modo centralizzato, criptarli automaticamente, controllare l'accesso e ruotarli in modo sicuro e automatico.

Secrets Manager può ruotare i secret. Puoi utilizzare la rotazione per sostituire i segreti a lungo termine con quelli a breve termine. La rotazione dei segreti limita il periodo di tempo in cui un utente non autorizzato può utilizzare un segreto compromesso. Per questo motivo, devi ruotare spesso i secret. Per scoprire di più sulla rotazione, consulta la sezione Rotazione dei secret di AWS Secrets Manager nella Guida per l'utente di AWS Secrets Manager.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

Controlla che la rotazione sia abilitata per tutti i secret di AWS Secrets Manager

  • Scansioni in tempo reale: No

Nome della categoria nell'API: SNS_ENCRYPTED_KMS

Descrizione del risultato:

Controlla se un argomento SNS è criptato at-rest utilizzando AWS KMS. I controlli non vengono superati se un argomento SNS non utilizza una chiave KMS per la crittografia lato server (SSE).

La crittografia dei dati at-rest riduce il rischio che i dati archiviati su disco vengano accessibili a un utente non autenticato su AWS. Inoltre, aggiunge un altro insieme di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie autorizzazioni API per decriptare i dati prima che possano essere letti. Gli argomenti SNS devono essere criptati at-rest per un livello di sicurezza aggiuntivo.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-7(6)

Controlla che tutti gli argomenti SNS siano criptati con KMS

  • Scansioni in tempo reale: No

Nome della categoria nell'API: VPC_DEFAULT_SECURITY_GROUP_CLOSED

Descrizione del risultato:

Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Il controllo non riesce se il gruppo di sicurezza consente il traffico in entrata o in uscita.

Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in uscita e in entrata dalle interfacce di rete (e dalle relative istanze) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, devi modificare l'impostazione delle regole del gruppo di sicurezza predefinito per limitare il traffico in entrata e in uscita. In questo modo si impedisce il traffico non intenzionale se il gruppo di sicurezza predefinito viene configurato accidentalmente per risorse come le istanze EC2.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • CIS AWS Foundation 3.0.0: 4.14

Assicurati che il gruppo di sicurezza predefinito di ogni VPC limiti tutto il traffico

  • Scansioni in tempo reale: No

Nome della categoria nell'API: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

Descrizione del risultato:

I log di flusso VPC sono una funzionalità che consente di acquisire informazioni sul traffico IP da e verso le interfacce di rete nel VPC. Dopo aver creato un log di flusso, puoi visualizzarne e recuperarne i dati in Amazon CloudWatch Logs. È consigliabile abilitare i log di flusso VPC per i pacchetti "Rifiuti" per i VPC.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS AWS Foundation 3.0.0: 3.7
  • CIS Controls 8.0: 13.6, 8.2

Assicurati che il logging dei flussi VPC sia abilitato in tutti i VPC

  • Scansioni in tempo reale: No

Nome della categoria nell'API: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

Descrizione del risultato:

Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo viene determinato come segue:

Se utilizzi il valore predefinito per authorizedTcpPorts, il controllo non riesce se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta diversa dalle porte 80 e 443.

Se fornisci valori personalizzati per authorizedTcpPorts o authorizedUdpPorts, il controllo non riesce se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non elencata.

Se non viene utilizzato alcun parametro, il controllo non riesce per qualsiasi gruppo di sicurezza che abbia una regola di traffico in entrata senza restrizioni.

I gruppi di sicurezza forniscono un filtro stateful del traffico di rete in entrata e in uscita verso AWS. Le regole del gruppo di sicurezza devono seguire il principio dell'accesso con privilegi minimi. L'accesso senza restrizioni (indirizzo IP con suffisso /0) aumenta le opportunità di attività dannose come hacking, attacchi denial of service e perdita di dati. A meno che una porta non sia specificamente consentita, l'accesso illimitato deve essere negato.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Controlla che tutti i gruppi di sicurezza con 0.0.0.0/0 di qualsiasi VPC consentano solo traffico TCP/UDP in entrata specifico

  • Scansioni in tempo reale: No

Nome della categoria nell'API: VPC_VPN_2_TUNNELS_UP

Descrizione del risultato:

Un tunnel VPN è un collegamento criptato in cui i dati possono passare dalla rete del cliente ad AWS o da AWS nell'ambito di una connessione VPN AWS Site-to-Site. Ogni connessione VPN include due tunnel VPN che puoi utilizzare contemporaneamente per l'alta disponibilità. Assicurarsi che entrambi i tunnel VPN siano attivi per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un VPC AWS e la tua rete remota.

Questo controllo verifica che entrambi i tunnel VPN forniti da AWS Site-to-Site VPN siano in stato attivo. Il controllo non viene superato se uno o entrambi i tunnel sono nello stato DOWN.

Livello di prezzo: Enterprise

Correggi questo risultato

Standard di conformità:

  • NIST 800-53 R5: SI-13(5)

Controlla che entrambi i tunnel VPN forniti da AWS tra siti siano in stato attivo

  • Scansioni in tempo reale: No

Risultati di Web Security Scanner

Le scansioni personalizzate e gestite di Web Security Scanner identificano i seguenti tipi di risultati. Nel livello Standard, Web Security Scanner supporta le scansioni personalizzate per le applicazioni di cui è stato eseguito il deployment con URL e IP pubblici che non sono protetti da un firewall.

Categoria Descrizione del risultato Categoria di esiti OWASP 2017 Top 10 OWASP 2021 Top 10

Nome della categoria nell'API: ACCESSIBLE_GIT_REPOSITORY

Un repository Git è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al repository GIT.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A5 A01

Nome della categoria nell'API: ACCESSIBLE_SVN_REPOSITORY

Un repository SVN è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico non intenzionale al repository SVN.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A5 A01

Nome della categoria nell'API: ACCESSIBLE_ENV_FILE

Un file ENV è esposto pubblicamente. Per risolvere questo problema, rimuovi l'accesso pubblico involontario al file ENV.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A5 A01

Nome della categoria nell'API: CACHEABLE_PASSWORD_INPUT

Le password inserite nell'applicazione web possono essere memorizzate nella cache in una normale cache del browser anziché in uno spazio di archiviazione sicuro delle password.

Livello di prezzo: Premium

Correggi questo risultato

Vulnerabilità A3 A04

Nome della categoria nell'API: CLEAR_TEXT_PASSWORD

Le password vengono trasmesse in testo normale e possono essere intercettate. Per risolvere questo problema, cripta la password trasmessa sulla rete.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A3 A02

Nome della categoria nell'API: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

Un endpoint HTTP o HTTPS tra siti convalida solo un suffisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio principale previsto faccia parte del valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin. Per i caratteri jolly nel sottodominio, anteponi il punto al dominio principale, ad esempio .endsWith(".google.com").

Livello di prezzo: Premium

Correggi questo risultato

Vulnerabilità A5 A01

Nome della categoria nell'API: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

Un endpoint HTTP o HTTPS tra siti convalida solo un prefisso dell'intestazione della richiesta Origin prima di rifletterlo all'interno dell'intestazione della risposta Access-Control-Allow-Origin. Per risolvere questo problema, verifica che il dominio previsto corrisponda completamente al valore dell'intestazione Origin prima di rifletterlo nell'intestazione della risposta Access-Control-Allow-Origin, ad esempio .equals(".google.com").

Livello di prezzo: Premium

Correggi questo risultato

Vulnerabilità A5 A01

Nome della categoria nell'API: INVALID_CONTENT_TYPE

È stata caricata una risorsa che non corrisponde all'intestazione HTTP Content-Type della risposta. Per risolvere questo problema, imposta l'intestazione HTTP X-Content-Type-Options con il valore corretto.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A6 A05

Nome della categoria nell'API: INVALID_HEADER

Un'intestazione di sicurezza contiene un errore di sintassi e viene ignorata dai browser. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A6 A05

Nome della categoria nell'API: MISMATCHING_SECURITY_HEADER_VALUES

Un'intestazione di sicurezza ha valori duplicati e non corrispondenti, il che comporta un comportamento indefinito. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A6 A05

Nome della categoria nell'API: MISSPELLED_SECURITY_HEADER_NAME

Un'intestazione di sicurezza presenta errori ortografici e viene ignorata. Per risolvere questo problema, imposta correttamente le intestazioni di sicurezza HTTP.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A6 A05

Nome della categoria nell'API: MIXED_CONTENT

Le risorse vengono pubblicate tramite HTTP su una pagina HTTPS. Per risolvere questo problema, assicurati che tutte le risorse vengano pubblicate tramite HTTPS.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A6 A05

Nome della categoria nell'API: OUTDATED_LIBRARY

È stata rilevata una libreria con vulnerabilità note. Per risolvere questo problema, esegui l'upgrade delle librerie a una versione più recente.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A9 A06

Nome della categoria nell'API: SERVER_SIDE_REQUEST_FORGERY

È stata rilevata una vulnerabilità Falsificazione richiesta lato server (SSRF, Server Side Request Forgery). Per risolvere questo problema, utilizza una lista consentita per limitare i domini e gli indirizzi IP a cui l'applicazione web può inviare richieste.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità Non applicabile A10

Nome della categoria nell'API: SESSION_ID_LEAK

Quando effettua una richiesta multiorigine, l'applicazione web include l'identificatore di sessione dell'utente nell'intestazione della richiesta Referer. Questa vulnerabilità consente al dominio ricevente di accedere all'identificatore di sessione, che può essere utilizzato per impersonare o identificare in modo univoco l'utente.

Livello di prezzo: Premium

Correggi questo risultato

Vulnerabilità A2 A07

Nome della categoria nell'API: SQL_INJECTION

È stata rilevata una potenziale vulnerabilità SQL injection. Per risolvere questo problema, utilizza query con parametri per impedire che gli input dell'utente influenzino la struttura della query SQL.

Livello di prezzo: Premium

Correggi questo risultato

Vulnerabilità A1 A03

Nome della categoria nell'API: STRUTS_INSECURE_DESERIALIZATION

È stato rilevato l'utilizzo di una versione vulnerabile di Apache Struts. Per risolvere questo problema, esegui l'upgrade di Apache Struts all'ultima versione.

Livello di prezzo: Premium

Correggi questo risultato

Vulnerabilità A8 A08

Nome della categoria nell'API: XSS

Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting (XSS). Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A7 A03

Nome della categoria nell'API: XSS_ANGULAR_CALLBACK

Una stringa fornita dall'utente non viene sottoposta a escape e AngularJS può interpolarla. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente e gestiti dal framework Angular.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A7 A03

Nome della categoria nell'API: XSS_ERROR

Un campo di questa applicazione web è vulnerabile a un attacco di cross-site scripting. Per risolvere questo problema, convalida ed elimina i dati non attendibili forniti dall'utente.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A7 A03

Nome della categoria nell'API: XXE_REFLECTED_FILE_LEAKAGE

È stata rilevata una vulnerabilità di tipo XXE (XML External Entity). Questa vulnerabilità può causare la perdita di un file nell'host da parte dell'applicazione web. Per risolvere questo problema, configura i parser XML in modo da non consentire entità esterne.

Livello di prezzo: Premium

Correggi questo risultato

Vulnerabilità A4 A05

Nome della categoria nell'API: PROTOTYPE_POLLUTION

L'applicazione è vulnerabile alla contaminazione del prototipo. Questa vulnerabilità si verifica quando alle proprietà dell'oggetto Object.prototype possono essere assegnati valori controllabili da un utente malintenzionato. Si presume che i valori inseriti in questi prototipi si traducano universalmente in cross-site scripting o vulnerabilità simili sul lato client, oltre a bug logici.

Livello di prezzo: Premium o Standard

Correggi questo risultato

Vulnerabilità A1 A03

Nome della categoria nell'API: HSTS_MISCONFIGURATION

È stata rilevata un'intestazione HTTP Strict Transport Security (HSTS) configurata in modo errato. Per ridurre in modo significativo il rischio di downgrade e attacchi di intercettazione sulle connessioni HTTP, risolvi l'intestazione HSTS configurata in modo errato. Le intestazioni HSTS forzano le connessioni tramite canali criptati (TLS) in modo che le connessioni HTTP in testo normale non vadano a buon fine. Scopri di più sulle intestazioni HSTS

Livello di prezzo: Premium

Correggi questo risultato

Configurazione errata Non applicabile Non applicabile

Nome della categoria nell'API: CSP_MISSING

È stata rilevata un'intestazione di risposta HTTP Content Security Policy (CSP) mancante. Le intestazioni CSP mitigano lo sfruttamento di vulnerabilità web comuni, in particolare il cross-site scripting XSS, impedendo il caricamento di script o plug-in non attendibili. È consigliabile un'intestazione CSP rigida. Scopri di più sulle intestazioni CSP

Livello di prezzo: Premium

Correggi questo risultato

Configurazione errata Non applicabile Non applicabile

Nome della categoria nell'API: CSP_MISCONFIGURATION

È stata rilevata un'intestazione di risposta HTTP Content Security Policy (CSP) non configurata correttamente. Le intestazioni CSP mitigano lo sfruttamento di vulnerabilità web comuni, in particolare il cross-site scripting XSS, impedendo il caricamento di script o plug-in non attendibili. È consigliata un'intestazione CSP rigida. Scopri di più sulle intestazioni CSP

Livello di prezzo: Premium

Correggi questo risultato

Configurazione errata Non applicabile Non applicabile

Nome della categoria nell'API: COOP_MISSING

È stata rilevata un'intestazione HTTP Cross-Origin-Opener-Policy (COOP) mancante. COOP è un meccanismo di sicurezza web che impedisce a una pagina aperta in una nuova finestra di accedere alle proprietà della pagina di origine. COOP offre un solido livello di protezione contro gli attacchi web comuni.

Livello di prezzo: Premium

Correggi questo risultato

Configurazione errata Non applicabile Non applicabile

Nome della categoria nell'API: CLICKJACKING_PROTECTION_MISSING

È stata rilevata un'intestazione di risposta mancante. Per impedire il clickjacking, implementa un'intestazione della risposta HTTP come X-Frame-Option (XFO) o Content-Security-Policy (CSP). Il clickjacking(chiamato anche UI Redress) è un attacco web in cui gli autori malintenzionati modificano l'interfaccia di un sito web di destinazione in modo che le vittime non si rendano conto di intraprendere un'azione importante. È consigliabile implementare un'intestazione della risposta HTTP: le intestazioni XFO sono facili da usare; le intestazioni CSP offrono maggiore flessibilità.
- Scopri di più sulle intestazioni XFO
- Scopri di più sulle intestazioni CSP

Livello di prezzo: Premium

Correggi questo risultato

Configurazione errata Non applicabile Non applicabile

Risultati di Notebook Security Scanner

Notebook Security Scanner rileva le vulnerabilità relative ai pacchetti Python utilizzati nei notebook Colab Enterprise e le pubblica nella categoria Vulnerabilità del pacchetto.

Un risultato di vulnerabilità del pacchetto mostra i dettagli della versione di un pacchetto che presenta vulnerabilità note. Una determinata versione di un pacchetto Python può avere più risultati di vulnerabilità del pacchetto, ognuno corrispondente a una diversa vulnerabilità nota.

Per risolvere un problema di vulnerabilità del pacchetto, devi utilizzare una versione diversa del pacchetto come consigliato nella sezione Passaggi successivi del problema.

Per maggiori informazioni, consulta Attivare e utilizzare Notebook Security Scanner.

Risultati del motore per suggerimenti IAM

La seguente tabella elenca i risultati di Security Command Center generati dal motore per suggerimenti IAM.

Ogni risultato del motore per suggerimenti IAM contiene suggerimenti specifici per rimuovere o sostituire un ruolo che include autorizzazioni eccessive da un'entità nel tuo ambienteGoogle Cloud .

I risultati generati dal motore per suggerimenti IAM corrispondono ai suggerimenti visualizzati nella console Google Cloud nella pagina IAM del progetto, della cartella o dell'organizzazione interessati.

Per saperne di più sull'integrazione del motore per suggerimenti IAM con Security Command Center, consulta Origini di sicurezza.

Rilevatore Riepilogo

Nome della categoria nell'API: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

Descrizione del risultato: IAM Recommender ha rilevato un account di servizio che ha uno o più ruoli IAM che concedono autorizzazioni eccessive all'account utente.

Livello di prezzo: Premium

Asset supportati:

Correggi questo risultato :

Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:

  1. Nella sezione Passaggi successivi dei dettagli del problema nella console Google Cloud , copia e incolla l'URL della pagina IAM nella barra degli indirizzi di un browser e premi Invio. Viene caricata la pagina IAM.
  2. Nella parte superiore della pagina IAM, sul lato destro, fai clic su Visualizza consigli nella tabella. I consigli vengono visualizzati in una tabella.
  3. Nella colonna Insight sulla sicurezza, fai clic su un suggerimento relativo a autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento.
  4. Esamina il consiglio sulle azioni che puoi intraprendere per risolvere il problema.
  5. Fai clic su Applica.

Una volta risolto il problema, IAM Recommender aggiorna lo stato del risultato a INACTIVE entro 10 giorni.

Nome della categoria nell'API: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

Descrizione del risultato: il motore per suggerimenti IAM ha rilevato che il ruolo IAM predefinito originale concesso a un agente di servizio è stato sostituito con uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio.

Livello di prezzo: Premium

Asset supportati:

Correggi questo risultato :

Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:

  1. Nella sezione Passaggi successivi dei dettagli del problema nella console Google Cloud , copia e incolla l'URL della pagina IAM nella barra degli indirizzi di un browser e premi Invio. Viene caricata la pagina IAM.
  2. Nella parte superiore della pagina IAM, sul lato destro, fai clic su Visualizza consigli nella tabella. I consigli vengono visualizzati in una tabella.
  3. Nella colonna Insight sulla sicurezza, fai clic su qualsiasi autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento.
  4. Rivedi le autorizzazioni in eccesso.
  5. Fai clic su Applica.

Una volta risolto il problema, IAM Recommender aggiorna lo stato del risultato a INACTIVE entro 10 giorni.

Nome della categoria nell'API: SERVICE_AGENT_GRANTED_BASIC_ROLE

Descrizione del risultato: Motore per suggerimenti IAM ha rilevato che a un service agent è stato concesso uno dei ruoli IAM di base: Proprietario, Editor o Visualizzatore. I ruoli di base sono ruoli legacy eccessivamente permissivi e non devono essere concessi agli agenti di servizio.

Livello di prezzo: Premium

Asset supportati:

Correggi questo risultato :

Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:

  1. Nella sezione Passaggi successivi dei dettagli del problema nella console Google Cloud , copia e incolla l'URL della pagina IAM nella barra degli indirizzi di un browser e premi Invio. Viene caricata la pagina IAM.
  2. Nella parte superiore della pagina IAM, sul lato destro, fai clic su Visualizza consigli nella tabella. I consigli vengono visualizzati in una tabella.
  3. Nella colonna Insight sulla sicurezza, fai clic su qualsiasi autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento.
  4. Rivedi le autorizzazioni in eccesso.
  5. Fai clic su Applica.

Una volta risolto il problema, IAM Recommender aggiorna lo stato del risultato a INACTIVE entro 10 giorni.

Nome della categoria nell'API: UNUSED_IAM_ROLE

Descrizione del suggerimento: IAM Recommender ha rilevato un account utente con un ruolo IAM che non è stato utilizzato negli ultimi 90 giorni.

Livello di prezzo: Premium

Asset supportati:

Correggi questo risultato :

Utilizza il motore per suggerimenti IAM per applicare la correzione consigliata per questo risultato seguendo questi passaggi:

  1. Nella sezione Passaggi successivi dei dettagli del problema nella console Google Cloud , copia e incolla l'URL della pagina IAM nella barra degli indirizzi di un browser e premi Invio. Viene caricata la pagina IAM.
  2. Nella parte superiore della pagina IAM, sul lato destro, fai clic su Visualizza consigli nella tabella. I consigli vengono visualizzati in una tabella.
  3. Nella colonna Insight sulla sicurezza, fai clic su qualsiasi autorizzazione relativa alle autorizzazioni in eccesso. Si apre il riquadro dei dettagli del suggerimento.
  4. Rivedi le autorizzazioni in eccesso.
  5. Fai clic su Applica.

Una volta risolto il problema, IAM Recommender aggiorna lo stato del risultato a INACTIVE entro 10 giorni.

Risultati CIEM

La tabella seguente elenca i risultati di identità e accesso di Security Command Center per AWS generati da Cloud Infrastructure Entitlement Management (CIEM).

I risultati di CIEM contengono consigli specifici per rimuovere o sostituire le policy IAM di AWS altamente permissive associate a identità, utenti o gruppi assunti nel tuo ambiente AWS.

Per saperne di più su CIEM, consulta Panoramica di Cloud Infrastructure Entitlement Management.

Rilevatore Riepilogo

Nome della categoria nell'API: ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

Descrizione del risultato: nel tuo ambiente AWS, CIEM ha rilevato un ruolo IAM assunto che ha una o più policy altamente permissive che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Questo risultato si basa sui log di utilizzo più recenti, che coprono un periodo compreso tra 83 e 90 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato :

A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:

  • Rimuovi la policy altamente permissiva.
  • Crea un nuovo criterio che disponga delle autorizzazioni minime richieste per l'utente, il gruppo o il ruolo. Poi, collega la nuova policy all'utente, al gruppo o al ruolo e rimuovi la policy con autorizzazioni eccessive.

Per i passaggi di correzione specifici, consulta i dettagli del risultato.

Nome della categoria nell'API: GROUP_HAS_EXCESSIVE_PERMISSIONS

Descrizione del risultato: nel tuo ambiente AWS, CIEM ha rilevato un gruppo AWS IAM o AWS IAM Identity Center che dispone di una o più policy altamente permissive che violano il principio del minimo privilegio e aumentano i rischi per la sicurezza. Questo risultato si basa sui log di utilizzo più recenti, che coprono un periodo compreso tra 83 e 90 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato :

A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:

  • Rimuovi la policy altamente permissiva.
  • Crea un nuovo criterio che disponga delle autorizzazioni minime richieste per l'utente, il gruppo o il ruolo. Poi, collega la nuova policy all'utente, al gruppo o al ruolo e rimuovi la policy con autorizzazioni eccessive.

Per i passaggi di correzione specifici, consulta i dettagli del risultato.

Nome della categoria nell'API: USER_HAS_EXCESSIVE_PERMISSIONS

Descrizione del risultato: nel tuo ambiente AWS, CIEM ha rilevato un utente AWS IAM o AWS IAM Identity Center che dispone di una o più policy altamente permissive che violano il principio del privilegio minimo e aumentano i rischi per la sicurezza. Questo risultato si basa sui log di utilizzo più recenti, che coprono un periodo compreso tra 83 e 90 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato :

A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:

  • Rimuovi la policy altamente permissiva.
  • Crea un nuovo criterio che disponga delle autorizzazioni minime richieste per l'utente, il gruppo o il ruolo. Poi, collega la nuova policy all'utente, al gruppo o al ruolo e rimuovi la policy con autorizzazioni eccessive.

Per i passaggi di correzione specifici, consulta i dettagli del risultato.

Nome della categoria nell'API: INACTIVE_USER

Descrizione del risultato: nel tuo ambiente AWS, CIEM ha rilevato un utente AWS IAM o AWS IAM Identity Center inattivo con una o più autorizzazioni. Ciò viola il principio del privilegio minimo e aumenta i rischi per la sicurezza. Questo risultato si basa sui log di utilizzo più recenti, che coprono un periodo compreso tra 83 e 90 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato :

A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:

  • Rimuovi le autorizzazioni associate all'utente AWS IAM o AWS IAM Identity Center.
  • Elimina l'utente AWS IAM o AWS IAM Identity Center se ritieni che l'identità non sia più necessaria.

Per i passaggi di correzione specifici, consulta i dettagli del risultato.

Nome della categoria nell'API: INACTIVE_GROUP

Descrizione del risultato: nel tuo ambiente AWS, CIEM ha rilevato un gruppo AWS IAM o AWS IAM Identity Center inattivo con una o più autorizzazioni. Ciò viola il principio del privilegio minimo e aumenta i rischi per la sicurezza. Questo risultato si basa sui log di utilizzo più recenti, che coprono un periodo compreso tra 83 e 90 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato :

A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:

  • Rimuovi le policy o le policy associate al gruppo AWS IAM.
  • Elimina alcuni o tutti gli utenti AWS IAM o AWS IAM Identity Center che compongono il gruppo se ritieni che queste identità non siano più necessarie.

Per i passaggi di correzione specifici, consulta i dettagli del risultato.

Nome della categoria nell'API: INACTIVE_ASSUMED_IDENTITY

Descrizione del risultato: nel tuo ambiente AWS, CIEM ha rilevato un ruolo IAM assunto inattivo e con una o più autorizzazioni. Ciò viola il principio del privilegio minimo e aumenta i rischi per la sicurezza. Questo risultato si basa sui log di utilizzo più recenti, che coprono un periodo compreso tra 83 e 90 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato :

A seconda del risultato, utilizza la console di gestione AWS per eseguire una delle seguenti attività di correzione:

  • Rimuovi la policy o le policy associate al ruolo AWS IAM.
  • Elimina l'identità presunta se ritieni che non sia più necessaria.

Per i passaggi di correzione specifici, consulta i dettagli del risultato.

Nome della categoria nell'API: OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY

Descrizione del risultato: nel tuo ambiente AWS, CIEM ha rilevato un criterio di attendibilità eccessivamente permissivo applicato a un ruolo AWS IAM che viola il principio del privilegio minimo e aumenta i rischi per la sicurezza. Questo risultato si basa sui log di utilizzo più recenti, che coprono un periodo compreso tra 83 e 90 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato :

Utilizza la console di gestione AWS per modificare le autorizzazioni nella policy di attendibilità applicata al ruolo AWS IAM in modo da rispettare il principio del privilegio minimo.

Per i passaggi di correzione specifici, consulta i dettagli del risultato.

Nome della categoria nell'API: ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK

Descrizione del risultato: nel tuo ambiente AWS, CIEM ha rilevato una o più identità che possono spostarsi lateralmente tramite rappresentazione. Questo risultato si basa sui log di utilizzo più recenti, che coprono un periodo compreso tra 83 e 90 giorni.

Livello di prezzo: Enterprise

Correggi questo risultato :

Utilizza la console di gestione AWS per rimuovere le policy associate all'identità o alle identità che consentono lo spostamento laterale.

Per i passaggi di correzione specifici, consulta i dettagli del risultato.

Risultati del servizio di postura di sicurezza

Questa sezione elenca i risultati di Security Command Center generati dal servizio di postura di sicurezza.

Il servizio di postura di sicurezza genera i seguenti insiemi di categorie di risultati:

Deriva da una postura di sicurezza implementata

La tabella seguente elenca i risultati della postura di sicurezza che identificano un'istanza di deviazione dalla postura di sicurezza definita.

Risultato Riepilogo

Nome della categoria nell'API: SECURITY_POSTURE_DETECTOR_DRIFT

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato una modifica a un detector Security Health Analytics avvenuta al di fuori di un aggiornamento della postura.

Livello di prezzo: Premium

Correggi questo risultato :

Questo risultato richiede di accettare la modifica o di ripristinarla in modo che le impostazioni del rilevatore nella tua postura e nel tuo ambiente corrispondano. Per risolvere questo problema, hai due opzioni: puoi aggiornare il rilevatore Security Health Analytics oppure puoi aggiornare la postura e il relativo deployment.

Per ripristinare la modifica, aggiorna il rilevatore di Security Health Analytics nella console Google Cloud . Per istruzioni, vedi Attivare e disattivare i rilevatori.

Per accettare la modifica, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: SECURITY_POSTURE_DETECTOR_DRIFT

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato una modifica a un modulo personalizzato di Security Health Analytics avvenuta al di fuori di un aggiornamento della postura.

Livello di prezzo: Premium

Correggi questo risultato :

Questo risultato richiede di accettare la modifica o di ripristinarla in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Per risolvere questo problema, hai due opzioni: puoi aggiornare il modulo personalizzato Security Health Analytics oppure puoi aggiornare la postura e il relativo deployment.

Per ripristinare la modifica, aggiorna il modulo personalizzato di Security Health Analytics nella console Google Cloud . Per le istruzioni, vedi Aggiornare un modulo personalizzato.

Per accettare la modifica, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: SECURITY_POSTURE_DETECTOR_DELETE

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato l'eliminazione di un modulo personalizzato di Security Health Analytics. Questa eliminazione è avvenuta al di fuori di un aggiornamento della postura.

Livello di prezzo: Premium

Correggi questo risultato :

Questo risultato richiede di accettare la modifica o di ripristinarla in modo che le impostazioni del modulo personalizzato nella postura e nell'ambiente corrispondano. Per risolvere questo problema, hai due opzioni: puoi aggiornare il modulo personalizzato Security Health Analytics oppure puoi aggiornare la postura e il relativo deployment.

Per ripristinare la modifica, aggiorna il modulo personalizzato di Security Health Analytics nella console Google Cloud . Per le istruzioni, vedi Aggiornare un modulo personalizzato.

Per accettare la modifica, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: SECURITY_POSTURE_POLICY_DRIFT

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato una modifica a una policy dell'organizzazione avvenuta al di fuori di un aggiornamento della postura.

Livello di prezzo: Premium

Correggi questo risultato :

Questo risultato richiede di accettare la modifica o di ripristinare la modifica in modo che le definizioni dei criteri dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo problema: puoi aggiornare il criterio dell'organizzazione oppure puoi aggiornare la postura e il deployment della postura.

Per ripristinare la modifica, aggiorna la policy dell'organizzazione nella console Google Cloud . Per istruzioni, vedi Creazione e modifica delle norme.

Per accettare la modifica, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: SECURITY_POSTURE_POLICY_DELETE

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato l'eliminazione di un criterio dell'organizzazione. L'eliminazione è avvenuta al di fuori di un aggiornamento della postura.

Livello di prezzo: Premium

Correggi questo risultato :

Questo risultato richiede di accettare la modifica o di ripristinare la modifica in modo che le definizioni dei criteri dell'organizzazione nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo problema: puoi aggiornare il criterio dell'organizzazione oppure puoi aggiornare la postura e il deployment della postura.

Per ripristinare la modifica, aggiorna la policy dell'organizzazione nella console Google Cloud . Per istruzioni, vedi Creazione e modifica delle norme.

Per accettare la modifica, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: SECURITY_POSTURE_POLICY_DRIFT

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato una modifica a una policy dell'organizzazione personalizzata avvenuta al di fuori di un aggiornamento della postura.

Livello di prezzo: Premium

Correggi questo risultato :

Questo risultato richiede di accettare la modifica o di ripristinarla in modo che le definizioni dei criteri dell'organizzazione personalizzati nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo problema: puoi aggiornare il criterio dell'organizzazione personalizzato oppure aggiornare la postura e il deployment della postura.

Per annullare la modifica, aggiorna la policy dell'organizzazione personalizzata nella console Google Cloud . Per le istruzioni, vedi Aggiornare un vincolo personalizzato.

Per accettare la modifica, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: SECURITY_POSTURE_POLICY_DELETE

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato l'eliminazione di una policy dell'organizzazione personalizzata. L'eliminazione è avvenuta al di fuori di un aggiornamento della postura.

Livello di prezzo: Premium

Correggi questo risultato :

Questo risultato richiede di accettare la modifica o di ripristinarla in modo che le definizioni dei criteri dell'organizzazione personalizzati nella tua postura e nel tuo ambiente corrispondano. Hai due opzioni per risolvere questo problema: puoi aggiornare il criterio dell'organizzazione personalizzato oppure aggiornare la postura e il deployment della postura.

Per annullare la modifica, aggiorna la policy dell'organizzazione personalizzata nella console Google Cloud . Per le istruzioni, vedi Aggiornare un vincolo personalizzato.

Per accettare la modifica, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Risorsa che viola una postura di sicurezza implementata

Il servizio di postura di sicurezza e Security Health Analytics generano i seguenti risultati, che identificano le istanze di risorse che violano la postura di sicurezza definita.

Risultato Riepilogo

Nome della categoria nell'API: DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato che una subnet ha un indirizzo IPv6 esterno abilitato.

Livello di prezzo: Premium

Correggi questo risultato :

Hai due opzioni per risolvere questo problema: puoi eliminare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per eliminare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Elimina la risorsa.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato che una subnet ha un indirizzo IPv6 interno abilitato.

Livello di prezzo: Premium

Correggi questo risultato :

Hai due opzioni per risolvere questo problema: puoi eliminare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per eliminare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Elimina la risorsa.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: REQUIRE_OS_LOGIN_ORG_POLICY

Descrizione del problema: il servizio di postura di sicurezza ha rilevato che OS Login è disabilitato in un'istanza VM.

Livello di prezzo: Premium

Correggi questo risultato :

Per risolvere questo problema, puoi aggiornare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per aggiornare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Modifica la risorsa. Individua la sezione dei metadati e modifica la voce con la chiave enable-oslogin in TRUE.
  5. Salva la risorsa.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato che a un'istanza SQL è stata aggiunta una rete autorizzata.

Livello di prezzo: Premium

Correggi questo risultato :

Questo risultato richiede di correggere la violazione o aggiornare la postura. Hai due opzioni per risolvere questo problema: puoi aggiornare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per aggiornare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Modifica la risorsa. Trova la sezione delle reti autorizzate nella sezione delle connessioni ed elimina tutte le voci.
  5. Salva la risorsa.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: REQUIRE_VPC_CONNECTOR_ORG_POLICY

Descrizione del problema: il servizio di postura di sicurezza ha rilevato che un connettore VPC non è abilitato per un'istanza di funzione Cloud Run.

Livello di prezzo: Premium

Correggi questo risultato :

Per risolvere questo problema, puoi aggiornare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per aggiornare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Fai clic su Modifica.
  5. Fai clic sulla scheda Connessioni.
  6. Trova la sezione Impostazioni di uscita. Nel menu Rete, seleziona un connettore VPC appropriato.
  7. Fai clic su Avanti.
  8. Fai clic su Esegui il deployment.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato che l'accesso alla porta seriale di un'istanza VM è abilitato.

Livello di prezzo: Premium

Correggi questo risultato :

Per risolvere questo problema, puoi aggiornare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per aggiornare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Modifica la risorsa. Trova la sezione Accesso remoto e deseleziona la casella di controllo Abilita connessione a porte seriali.
  5. Salva la risorsa.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato la creazione di una rete predefinita.

Livello di prezzo: Premium

Correggi questo risultato :

Hai due opzioni per risolvere questo problema: puoi eliminare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per eliminare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Elimina la risorsa.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: ALLOWED_INGRESS_ORG_POLICY

Descrizione del problema: il servizio di postura di sicurezza ha rilevato che un servizio Cloud Run non è conforme alle impostazioni di traffico in entrata specificate.

Livello di prezzo: Premium

Correggi questo risultato :

Per risolvere questo problema, puoi aggiornare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per aggiornare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Fai clic sulla scheda Networking. Modifica le impostazioni in modo che corrispondano alla norma di ingresso consentita.
  5. Salva la risorsa.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato che un accesso a livello di bucket è granulare anziché uniforme.

Livello di prezzo: Premium

Correggi questo risultato :

Per risolvere questo problema, puoi aggiornare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per aggiornare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Fai clic sulla scheda Autorizzazioni. Nella scheda Controllo dell'accesso, fai clic su Passa a Uniforme.
  5. Seleziona la divisa e salva.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Nome della categoria nell'API: ALLOWED_VPC_EGRESS_ORG_POLICY

Descrizione del risultato: il servizio di postura di sicurezza ha rilevato che un servizio Cloud Run non è conforme alle impostazioni di traffico in uscita specificate.

Livello di prezzo: Premium

Correggi questo risultato :

Per risolvere questo problema, puoi aggiornare la risorsa che viola la norma oppure puoi aggiornare la postura e ridistribuirla.

Per aggiornare la risorsa, completa i seguenti passaggi:

  1. Apri il riepilogo del risultato.
  2. Controlla la sezione delle risorse interessate e trova il nome completo della risorsa che viola il criterio di postura.
  3. Fai clic sul nome completo della risorsa per aprirne i dettagli.
  4. Fai clic su Modifica ed esegui il deployment di una nuova revisione e poi sulla scheda Networking. Modifica l'impostazione Routing del traffico nella sezione Connettiti a un VPC per il traffico in uscita in modo che corrisponda alla policy di uscita consentita.
  5. Esegui il deployment della risorsa.

Se vuoi mantenere la risorsa nella stessa configurazione, devi aggiornare la postura. Per aggiornare la postura, completa i seguenti passaggi:

  1. Aggiorna il file posture.yaml con la modifica.
  2. Esegui il comando gcloud scc postures update. Per istruzioni, vedi Aggiornare le definizioni dei criteri in una postura.
  3. Esegui il deployment della postura aggiornata con il nuovo ID revisione. Per le istruzioni, vedi Aggiornare un'implementazione di postura.

Model Armor

Model Armor è un servizio Google Cloud completamente gestito che migliora la sicurezza delle applicazioni di AI esaminando prompt e risposte degli LLM per rilevare vari rischi per la sicurezza.

Risultati di Model Armor

La tabella seguente elenca i risultati di Security Command Center generati da Model Armor.

Risultato Riepilogo

Nome della categoria nell'API: FLOOR_SETTINGS_VIOLATION

Descrizione del problema: una violazione delle impostazioni di base che si verifica quando un modello Model Armor non soddisfa gli standard di sicurezza minimi definiti dalle impostazioni di base della gerarchia delle risorse.

Livello di prezzo: Premium

Correggi questo risultato:

Questo risultato richiede l'aggiornamento del modello Model Armor in modo che sia conforme alle impostazioni di base definite nella gerarchia delle risorse.

Esaminare i risultati nella console Google Cloud

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Model Armor. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, tra cui informazioni su ciò che è stato rilevato, la risorsa interessata e i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Correggere i risultati di Model Armor

Il risultato FLOOR_SETTINGS_VIOLATION indica che il modello Model Armor non ha soddisfatto gli standard minimi di sicurezza definiti dalle impostazioni di base della gerarchia delle risorse.

Per risolvere questo problema:

  1. Nella console Google Cloud , vai alla pagina Model Armor.
  2. Verifica di visualizzare il progetto in cui hai attivato Model Armor. Viene visualizzata la pagina Model Armor con l'elenco dei modelli creati per il tuo progetto.
  3. Fai clic sul modello che vuoi modificare.
  4. Modifica il modello in base alle impostazioni di base definite nella gerarchia delle risorse.
  5. Fai clic su Salva.

VM Manager

VM Manager è una suite di strumenti che possono essere utilizzati per gestire sistemi operativi per grandi gruppi di macchine virtuali (VM) che eseguono Windows e Linux su Compute Engine.

Se abiliti VM Manager con Security Command Center Premium a livello di organizzazione, VM Manager scrive i risultati dei report sulle vulnerabilità, che sono in anteprima, in Security Command Center. I report identificano le vulnerabilità nei sistemi operativi installati sulle VM, incluse le vulnerabilità ed esposizioni comuni (CVE).

Per utilizzare VM Manager con le attivazioni a livello di progetto di Security Command Center Premium, attiva Security Command Center Standard nell'organizzazione principale.

I report sulle vulnerabilità non sono disponibili per Security Command Center Standard.

I risultati semplificano il processo di utilizzo della funzionalità di conformità delle patch di VM Manager, che è in anteprima. Questa funzionalità consente di eseguire la gestione delle patch a livello di organizzazione in tutti i progetti.

La gravità dei risultati relativi alle vulnerabilità ricevuti da VM Manager è sempre CRITICAL o HIGH.

Risultati di VM Manager

Le vulnerabilità di questo tipo sono tutte correlate ai pacchetti del sistema operativo installati nelle VM Compute Engine supportate.

Rilevatore Riepilogo Impostazioni di scansione degli asset

Nome della categoria nell'API: OS_VULNERABILITY

Descrizione del problema: VM Manager ha rilevato una vulnerabilità nel pacchetto del sistema operativo installato per una VM Compute Engine.

Livello di prezzo: Premium

Asset supportati

compute.googleapis.com/Instance

Correggi questo risultato

I report sulle vulnerabilità di VM Manager descrivono in dettaglio le vulnerabilità nei pacchetti del sistema operativo installati per le VM di Compute Engine, incluse le vulnerabilità ed esposizioni comuni (CVE).

Per un elenco completo dei sistemi operativi supportati, consulta Dettagli del sistema operativo.

I risultati vengono visualizzati in Security Command Center poco dopo il rilevamento delle vulnerabilità. I report sulle vulnerabilità in VM Manager vengono generati come segue:

  • Quando un pacchetto viene installato o aggiornato nel sistema operativo di una VM, puoi aspettarti di visualizzare informazioni sulle vulnerabilità ed esposizioni comuni (CVE) per la VM in Security Command Center entro due ore dalla modifica.
  • Quando vengono pubblicati nuovi avvisi di sicurezza per un sistema operativo, i CVE aggiornati sono normalmente disponibili entro 24 ore dalla pubblicazione dell'avviso da parte del fornitore del sistema operativo.

Esaminare i risultati nella console

Standard o Premium

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona VM Manager. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Aziende

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati nel livello Enterprise

  2. Seleziona la tua Google Cloud organizzazione.
  3. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
  4. Seleziona VM Manager. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  5. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  6. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  7. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Correzione dei problemi riscontrati da VM Manager

Un risultato OS_VULNERABILITY indica che VM Manager ha rilevato una vulnerabilità nei pacchetti del sistema operativo installati in una VM di Compute Engine.

Per risolvere questo problema:

  1. Apri un risultato OS vulnerability e visualizza la relativa definizione JSON.

  2. Copia il valore del campo externalUri. Questo valore è l'URI della pagina Informazioni sul sistema operativo dell'istanza VM di Compute Engine in cui è installato il sistema operativo vulnerabile.

  3. Applica tutte le patch appropriate per il sistema operativo mostrato nella sezione Informazioni di base. Per istruzioni sull'implementazione delle patch, consulta Creare job di applicazione patch.

Scopri di più sugli asset supportati e sulle impostazioni di scansione di questo tipo di risultato.

Disattivare i risultati di VM Manager

Potresti voler nascondere alcuni o tutti i risultati di VM Manager in Security Command Center se non sono pertinenti ai tuoi requisiti di sicurezza.

Puoi nascondere i risultati di VM Manager creando una regola di disattivazione e aggiungendo attributi di query specifici per i risultati di VM Manager che vuoi nascondere.

Per informazioni su come creare una regola di disattivazione, vedi Creare una regola di disattivazione.

Ad esempio, se vuoi nascondere ID CVE specifici nei risultati delle vulnerabilità di VM Manager, seleziona Vulnerabilità > ID CVE, quindi seleziona gli ID CVE che vuoi nascondere.

Il campo Query sui risultati per la regola di disattivazione è simile al seguente:

parent_display_name="VM Manager"
AND vulnerability.cv.id="CVE-2025-26923" OR vulnerability.cve.id="CVE-2025-27635"

Risultati della valutazione delle vulnerabilità di Artifact Registry

Nella tabella seguente sono elencati i risultati che ti avvisano di potenziali vulnerabilità rilevate nelle immagini container. Questi risultati vengono generati solo per le immagini container vulnerabili archiviate in Artifact Registry e di cui è stato eseguito il deployment in una delle seguenti risorse:

  • Cluster Google Kubernetes Engine
  • Servizio Cloud Run
  • Job Cloud Run
  • App Engine

Questi risultati sono classificati come gravità HIGH o CRITICAL.

Per informazioni su come attivare, disattivare e visualizzare i risultati della valutazione delle vulnerabilità di Artifact Registry nella console Google Cloud , consulta Servizio di rilevamento della valutazione delle vulnerabilità di Artifact Registry.

Rilevatore Riepilogo

Container image vulnerability

Nome della categoria nell'API: CONTAINER_IMAGE_VULNERABILITY

Descrizione del problema: è stata rilevata una vulnerabilità in un'immagine container analizzata in Artifact Registry. Questa immagine viene implementata in uno dei seguenti asset:

  • Cluster Google Kubernetes Engine
  • Servizio Cloud Run
  • Job Cloud Run
  • App Engine

Livello di prezzo: Standard, Premium o Enterprise

Correggi questo risultato :

A seconda del tipo di risorsa di runtime, procedi nel seguente modo:

  • Per gli asset di servizio Google Kubernetes Engine o Cloud Run, esegui l'upgrade o elimina la versione dell'immagine container.
  • Per i job Cloud Run e gli asset App Engine, elimina la versione dell'immagine container dall'associazione del runtime per annullarne il deployment.

Consulta i dettagli del risultato per i passaggi di correzione specifici in base alla risorsa di runtime appropriata.

Per i clienti del livello Standard, l'utilizzo della funzionalità di query sugli asset di Cloud Asset Inventory per determinare dove viene eseguito il deployment dell'immagine container vulnerabile non è supportato. Ti consigliamo di eseguire l'upgrade ai piani Premium o Enterprise per ottenere informazioni più dettagliate.

Sensitive Data Protection

Questa sezione descrive i risultati delle vulnerabilità generati da Sensitive Data Protection, gli standard di conformità supportati e come correggere i risultati.

Sensitive Data Protection invia anche i risultati osservativi a Security Command Center. Per ulteriori informazioni sui risultati dell'osservazione e su Sensitive Data Protection, consulta Sensitive Data Protection.

Per informazioni su come visualizzare i risultati, vedi Esaminare i risultati di Sensitive Data Protection nella console Google Cloud .

Risultati delle vulnerabilità di Sensitive Data Protection

Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se stai archiviando dati altamente sensibili non protetti.

Categoria Riepilogo

Nome della categoria nell'API:

PUBLIC_SENSITIVE_DATA

Descrizione del problema: la risorsa specificata contiene dati con sensibilità elevata a cui chiunque su internet può accedere.

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

Per i dati Google Cloud , rimuovi allUsers e allAuthenticatedUsers dalla policy IAM dell'asset di dati.

Per i dati Amazon S3, configura le impostazioni di blocco dell'accesso pubblico o aggiorna l'ACL dell'oggetto per negare l'accesso in lettura pubblico. Per saperne di più, consulta Configurazione delle impostazioni di accesso pubblico con blocco per i bucket S3 e Configurazione delle ACL nella documentazione di AWS.

Per i dati di Azure Blob Storage, rimuovi l'accesso pubblico al container e ai blob. Per maggiori informazioni, consulta Panoramica: correzione dell'accesso in lettura anonimo per i dati blob nella documentazione di Azure.

Standard di conformità: non mappati

Nome della categoria nell'API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descrizione del problema: sono presenti secret, ad esempio password, token di autenticazione e Google Cloud credenziali, nelle variabili di ambiente.

Per attivare questo rilevatore, consulta Segnalare i secret nelle variabili di ambiente a Security Command Center nella documentazione di Sensitive Data Protection.

Asset supportati:

Correzione:

Per le variabili di ambiente di Cloud Run Functions, rimuovi il secret dalla variabile di ambiente e memorizzalo in Secret Manager.

Per le variabili di ambiente della revisione del servizio Cloud Run, sposta tutto il traffico dalla revisione ed elimina la revisione.

Standard di conformità:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nome della categoria nell'API:

SECRETS_IN_STORAGE

Descrizione del problema: sono presenti secret, ad esempio password, token di autenticazione e credenziali cloud, nella risorsa specificata.

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

  1. Per i dati Google Cloud , utilizza Sensitive Data Protection per eseguire una scansione di ispezione approfondita della risorsa specificata per identificare tutte le risorse interessate. Per i dati Cloud SQL, esportali in un file CSV o AVRO in un bucket Cloud Storage ed esegui una scansione di ispezione approfondita del bucket.

    Per i dati di altri cloud provider, ispeziona manualmente il bucket o il container specificato.

  2. Rimuovi i secret rilevati.
  3. Valuta la possibilità di reimpostare le credenziali.
  4. Per i dati, valuta la possibilità di archiviare i secret rilevati in Secret Manager. Google Cloud

Standard di conformità: non mappati

Risultati degli errori di configurazione di Sensitive Data Protection

Il servizio di rilevamento Sensitive Data Protection ti aiuta a determinare se hai configurazioni errate che potrebbero esporre dati sensibili.

Categoria Riepilogo

Nome della categoria nell'API:

SENSITIVE_DATA_CMEK_DISABLED

Descrizione del risultato: la risorsa specificata contiene dati ad alta o media sensibilità e non utilizza una chiave di crittografia gestita dal cliente (CMEK).

Asset supportati:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket Amazon S3
  • Container Azure Blob Storage

Correzione:

Standard di conformità: non mappati

Policy Controller

Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes registrati come appartenenze al parco risorse. Questi criteri fungono da sistemi di protezione e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse.

Questa pagina non elenca tutti i singoli risultati di Policy Controller, ma le informazioni sui risultati della classe Misconfiguration che Policy Controller scrive in Security Command Center sono le stesse delle violazioni del cluster documentate per ogni bundle Policy Controller. La documentazione per i singoli tipi di risultati di Policy Controller si trova nei seguenti pacchetti di Policy Controller:

Questa funzionalità non è compatibile con i perimetri di servizio dei Controlli di servizio VPC intorno all'API Stackdriver.

Individuare e correggere i problemi riscontrati da Policy Controller

Le categorie di Policy Controller corrispondono ai nomi dei vincoli elencati nella documentazione dei pacchetti di Policy Controller. Ad esempio, un require-namespace-network-policies risultato indica che uno spazio dei nomi viola le norme secondo cui ogni spazio dei nomi in un cluster ha un NetworkPolicy.

Per correggere un risultato:

Standard o Premium

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Policy Controller on-cluster. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Aziende

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai a Risultati nel livello Enterprise

  2. Seleziona la tua Google Cloud organizzazione.
  3. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
  4. Seleziona Policy Controller on-cluster. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  5. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  6. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  7. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Passaggi successivi